瑞星ARP产品 是否会导致网络阻塞?

　　瑞星产品如今在网络中可是网民的热门话题，日前消息，网络中出现的部分校园网针对瑞星的ARP功能提出质疑，称其如果开启瑞星防火墙的arp防护功能时，则防火墙会以每秒1000个arp包的向外广播，并询问同一个地址，至使正常网络出现异常，形成网络中断情况的发生。

　　大学质疑：禁用ARP防护功能

　　11月28日消息，有媒体刊出《吉林大学公告慎用瑞星2008防火墙》一文，称“瑞星个人防火墙2008版有严重的设计问题，凡是使用瑞星2008防火墙软件并采用其缺省设置的计算机，会在网段内发送大量的错误的arp广播包，不仅造成网段内网络线路不畅，而且使上联的路由器等网络设备的cpu负载满载。” 据统计目前在校园BBS中还有不少大学都发出了不同的公告，其内容都大同小异：

　　一、中国科技大学：对于异常多arp请求，请禁用瑞星2008防火墙的arp攻击防御功能。(原文地址：http://bbs2.ustc.edu.cn/cgi/bbstcon?board=USTCnet&file=T.1150248292.A)

　　二、中山大学：当打开瑞星防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址(不清楚为什么)。(原文地址：http://bbs.zsu.edu.cn/bbstcon?board=Virus&file=M.1193329975.A)

　　三、四川大学：装有该版本的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断。(原文地址：http://imc.scu.edu.cn/scunic/2007-9/2007929113032.htm)

　　有消息称：面对此种情况，瑞星竟然说不是自身产品问题，只是个案，我们来看看瑞星是如何回应的。

　　瑞星回应：网络堵塞并非产品缺陷

　　面对吉林大学的问题，据瑞星工程师分析，导致其网络堵塞的原因并非瑞星产品缺陷，而是其校园网络和用户自身的原因。到目前为止，公司2008个人防火墙正被数千万用户使用，除了吉林大学的个案之外，并没有发现类似现象。“瑞星公司不会对产品进行修改，但是我们愿意协助吉林大学解决相关问题，并提醒其他局域网用户避免类似问题。” 其最络解释如下：

　　第一、ARP欺骗攻击是目前较为流行的一种欺骗手段，黑客可以利用ARP攻击进行病毒传播、信息监听、内容篡改、盗取网游、网银帐号等恶意攻击。为了解决这一问题，瑞星个人防火墙2008版新增加了ARP欺骗攻击防护功能。该功能可以有效地阻止因ARP攻击造成的上述各种问题，特别对网游、炒股软件等帐号的保护非常有效，因此受到广大用户的热烈追捧，并被部分用户认为是瑞星2008新品中最喜爱的功能之一。

　　第二、目前，全球安全业界公认的最有效的ARP防护技术，是通过向网内发送ARP广播获取真实的IP-MAC对应关系来实现的，瑞星所采用的就是这种技术。在一个管理完善的网络中，不会存在如此频繁的ARP攻击，只有在局域网中存在大量的ARP攻击源，或者用户对ARP防火墙设置不当，才会导致此种情况发生。目前，有且仅有吉林大学称使用瑞星个人防火墙2008会造成严重问题

　　第三、瑞星个人防火墙2008版缺省设置不会开启ARP防护功能，数千万用户都可以作证。事实上，即使用户开启了ARP防护功能，默认情况下也只保护用户指定的IP，除非用户自行添加其它地址。因此吉林大学公告中所说的“采用其缺省设置就会导致网络线不畅”的情况完全不属实。

　　第四、随着黑客和病毒技术的不断发展，安全产品势必不断精进技术，增加更底层更强大更复杂的功能才能保护用户，如何处理好技术的复杂性和操作的简易性之间的矛盾，是全球所有安全厂商所面临的共同课题。正因为如此，瑞星2008新品才进行了史无前例的大规模公开测试和长达半年多时间的后期产品完善工作。目前数千万用户的使用证明，瑞星2008新品在大量应用创新的底层核心技术的同时，其适用性和易用性也是最好的。

　　ARP攻击欺骗的解决之法

　　校园内部分网段出现间歇性网络中断现象，网络在使用过程中突然中断，1分钟内又恢复，过一段时间又再次中断。这类故障多是由同一网段的ARP攻击引起的。当ARP攻击发生时，PC机得到了假的网关MAC地址，因此PC机发出的数据包没有发送到真正的网关处，造成网络中断。对于学生宿舍的网络，隔离的方式是关闭该机器连接的信息点;对于其他地方的网络，采取的方式是在核心交换机上封锁攻击机器的MAC地址。

　　建议大家使用antiarp来减轻ARP攻击的影响，其方法如下：

　　一、进入下载http://netfee.ustc.edu.cn/antiarp2/antiarp2.rar并将其展开，然后在DOS窗体中输入ipconfig查看其中的Deafult gateway项下的网关IP。

　　二、执行antiarp2.exe，在其中填入所得的网关IP地址，并点击[获取网关地址]将会显示出网关的MAC地址，随后点击[自动防护]即可保护网关的MAC地址不会被ARP攻击欺骗。如果点击[防护地址冲突]则可保护本机的MAC地址不会被ARP攻击欺骗。采用[恢复默认]时即可以得到本机网卡的MAC地址。

　　利用以上方法可有效保护网内机器的安全，使其免受ARP之害。面对此种情况的发生，这里希望各校园网的管理人员加强防范，尽量避免网络堵塞情况的发生，并不遗余力的将ARP排挤在防火墙与系统之外，使网络畅通无阻。