记者关于瑞星2008杀毒软件被指比病毒危险的报道引起了企业和杀毒厂商的高度关注,而最关心的问题就是瑞星2008究竟有没有问题?究竟有没有设计缺陷,或者只是没有考虑到极端情况?
现状:不能确认正式版完全没有问题
为此,记者联系到瑞星公司市场部的郝婷,得到了关于ARP广播包事件的最新进展。她表示,“派到吉林大学的瑞星团队已经和吉林大学做了很好的沟通,双方达成了一些共识。吉林大学已经明确表示会再出一个公告,把整个事件说明一下,这样对媒体和一些有质疑的人会有一个官方的说法。相信近期这个公告就可以在吉林大学网站上看到。而如果吉林大学的网络以后再出现安全方面的问题,瑞星也会第一时间派出专家协助他们解决问题。”对于川大的情况,她也表示一切顺利。
记者再次连线四川大学信息管理中心的姜老师询问情况。他表示:“解除限制后,虽然有时候网段内还是有很多的ARP广播包发送,但是我们没有确切的证据证明这个就是因为瑞星的问题而发送这样多的广播包,因为也可能是病毒在发送。”在问到瑞星团队对ARP广播包问题的调研有无结果时,姜老师说:“瑞星并没有对川大的这个问题作出明确的结论,到底是哪方的问题。但是根据我们学校的具体情况,他们说在新的升级包里已经改变了一些策略。我们还在观察,看有没有效果。对正式版的使用也同样在观察中,还不能确认正式版就完全没有问题。”
CCERT:ARP欺骗利用的是ARP协议本身的缺陷
中国教育和科研计算机网应急响应组(CCERT)是指CERNET网络安全应急响应体系的总称,对中国教育和科研计算机网及会员单位的网络安全事件提供快速的响应或技术支持服务。
该机构的网络安全工程师郑先伟在接受记者采访时表示,“我没有测试过瑞星防火墙的保护机制会不会大量发ARP包。但是从保护原理上来说,病毒主机每向网关发送一个ARP欺骗包,客户端防火墙为了更正网关的ARP缓存表也必须向网关发送一个正确的ARP包,这就是说只要病毒不停的发,防火墙也会不停的发。一开始我们开发名为ARPFix的防火墙时也使用过这个手段,但是后来考虑到可能会产生大量的ARP包,所以最后放弃了。”
在CCERT网站的 “ARP欺骗病毒专题”里,记者也看到这样一段文字,“因为ARP欺骗利用的是ARP协议本身的缺陷,所以到目前为止,我们依然没有一个十分有效的方法去控制这种攻击。目前难点主要集中在网关交换机上,我们还没有找到一个很有效的方法来防范网关上的ARP列表不被欺骗修改。所以当前最有效的办法还是迅速阻断这种攻击的来源。这就要求能够快速检测到攻击并定位出攻击主机位置后加以处理。”
金山:瑞星没有考虑极端情况
作为国内另一家反病毒知名企业的金山软件也开发了基于ARP的杀毒药软件。金山公司的反病毒工程师李铁军向记者介绍:“采用通知网关的方法防止ARP欺骗,是应对ARP欺骗的方法之一,采用这种方法,要考虑到极端情况,比如在校园网这种复杂的网络环境,如果所有客户机都这样做,就会导致网络异常。最好是使用其它方法,避免用户误操作。所以,杀毒厂商在采用这种方法时要尽量谨慎。用网友的话说,局域网中很多客户机采用通知网关的方法防止ARP攻击,是杀敌1000,自损1200的作法,很容易导致网络风暴,安全厂商应该引导用户避免错误设置,比如产品界面应告知风险,提醒用户小心操作。”
李铁军表示,日前金山也发布了自己的金山毒霸防ARP攻击软件。该防火墙采用的是双向拦截ARP攻击包,包括其他计算机对本地的ARP攻击以及本机对其他计算机的ARP攻击。它会阻止局域网中其它机器发起的ARP攻击,从很大程度上起到了控制ARP欺骗包泛滥的问题。另外,记者也发现金山的ARP防火墙也有跟瑞星类似的选项,只是默认是没有勾选的。李铁军对此解释:“当必要的时候,可以勾选上这个选项,并且可以自己定义设置发包次数。这就好比根据自己的需要来设置喊还是不喊,喊的话喊几声。这样就可以在必须的时候主动通知网关,又能把对网络资源的占用在自己可控的范围内进行。”但是,他也表示金山不推荐采用通知网关的方式来防止ARP欺骗,并且会在产品界面上给用户以适当提醒。
网友评论