lyzzzz

新闻来源:http://www0.jlu.edu.cn/ip/rising_bbs.html
看到吉林大学网络中心发布的重要通知，瑞星的ARP防护似乎是以暴制暴啊，大家谁都过不好。
最近，我校一些网段内充斥着大量的arp广播包，严重影响网络运行。
经过技术人员反复核查，确认“瑞星2008防火墙软件”有严重的设计问题，凡是使用“瑞星2008防火墙软件”并采用其缺省设置的计算机，会在网段内发送大量的错误的arp广播包，不仅造成网段内网络线路不畅，而且使上联的路由器等网络设备的cpu负载满载。该软件对网络的干扰和破坏力甚至大于很多计算机病毒。


关于谨慎使用瑞星2008防火墙软件的紧急通知

　　最近，我校一些网段内充斥着大量的arp广播包，严重影响网络运行。

　　经过技术人员反复核查，确认“瑞星2008防火墙软件”有严重的设计问题，凡是使用“瑞星2008防火墙软件”并采用其缺省设置的计算机，会在网段内发送大量的错误的arp广播包，不仅造成网段内网络线路不畅，而且使上联的路由器等网络设备的cpu负载满载。该软件对网络的干扰和破坏力甚至大于很多计算机病毒。

　　在此特做紧急通知，凡是使用“瑞星2008防火墙软件”网络用户请马上关闭“ARP欺骗防御”中的“防御局域网中所有计算机”的功能，如图所示：


　将如上图的缺省设置改成“防护指定的计算机和静态规则地址",如下图： 　



　特此通知并请相互转告。


　　　　　　　　　　　　　　　　　　　　　　　　吉林大学网络中心　2007年11月12日

lyzzzz

[相关文章1]

引用:

[证据]中科大、中山大学、四川大学关于瑞星ARP产品问题的说明


ugmbbc发布于 2007-11-27 18:52:31|2789 次阅读 字体：大 小 打印预览

感谢匿名人士的投递
新闻来源:中科大、中山大学、四川大学
瑞星竟然说不是自己产品的问题，是个案。明明就是不重视教育网用户，还给自己找托词。刚才找了一些戳穿瑞星谎言的证据，涉及中国科技大学、中山大学、四川大学，都曾经或正面对瑞星ARP防护功能导致的网络阻塞情况。以下证据皆为原文转载，并附上原始链接，是非对错是由读者判断。
我并不想诋毁或批判瑞星，只是希望国内的厂商能多关心一下用户，而不是用冠冕堂皇的说辞搪塞用户的问题。知错就改远好过死鸭子嘴硬。


摘录证据中的一些内容：
　　中国科技大学：对于异常多arp请求，请禁用瑞星2008防火墙的arp攻击防御功能
　　中山大学：当打开瑞星防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址(不清楚为什么)
　　四川大学：装有该版本的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断

中国科技大学早就开始因为瑞星ARP干扰网络的问题对指定ip或端口进行封禁了。
中国科技大学 瀚海星云BBS 网络中心版面
其一原帖地址：http://bbs2.ustc.edu.cn/cgi/bbst ... file=T.1150248292.A
发信人: jameszhang(杰杰), 信区: USTCnet
标  题: ARP攻击的说明
发信站: 瀚海星云 (2006年06月14日09:27:01 星期三), 站内信件

最近校园网出现了很多异常的arp请求数据包，这些数据包的发送速率很高，达每秒钟
几百甚至几千个数据包。

有用户指出，可能是瑞星2008防火墙中的arp欺骗防御功能会引起异常的arp请求数据包。
因此安装了瑞星2008的请关闭该功能。

--------------------------------------------------------------------------------------------------

其二原帖地址：http://fbbs.ustc.edu.cn/cgi/bbsc ... T41B3DEA1&num=0
发信人: jameszhang(杰杰), 信区: USTCnet
标  题: 被封锁的交换机端口信息
发信站: 瀚海星云 (2004年12月06日12:28:58 星期一), 站内信件

以下交换机端口或计算机由于注明的原因被管理员关闭。
对于异常多arp请求，请禁用瑞星2008防火墙的arp攻击防御功能
排除故障后需要重新开通，宿舍接口请联系3601541网络中心工程部


中山大学 逸仙时空BBS
原帖地址：http://bbs.zsu.edu.cn/bbstcon?board=Virus&file=M.1193329975.A
发信人: IGI (IGI), 信区: Virus
标  题: 瑞星防火墙2008 v20.14.10有个恶心的bug
发信站: 逸仙时空 Yat-sen Channel (Thu Oct 25 13:42:55 2007), 转信

瑞星防火墙2008版20.14.10,2007-10-16更新的,加入arp防护功能,不过经过调查和实验
发现,它的arp防护功能超级恶心

当打开瑞星防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个
地址(不清楚为什么)

0000   ff ff ff ff ff ff 00 0c 29 2b 9e de 08 06 00 01  ........)+......
0010   08 00 06 04 00 01 00 0c 29 2b 9e de ac 12 38 fb  ........)+....8.
0020   00 00 00 00 00 00 ac 12 38 6a                    ........8j

不知道是设计人员以这样的方式来防arp还是本来就是bug,如果以这样的方式来防arp的话
个人觉得很恶心,毕竟一秒1000个的广播,量还是大了点


四川大学信息管理中心
原帖地址：http://imc.scu.edu.cn/scunic/2007-9/2007929113032.htm
关于使用瑞星2008免费版的提示
时间：2007年9月29日11:30 阅读521次
来源： 编辑：zbl  

四川大学各校园网用户：
    近期个别宿舍出现断网，某些认证用户出现了“未规范使用网络”等现象，针对这一情况，经过排查，发现均与瑞星2008的免费版本有关，装有该版本的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断；另外，发现该版本杀毒软件在个别用户安装后会影响正常认证上网。故建议各位校园网用户现在暂停使用瑞星2008杀毒软件及防火墙，等以后正式版本出来或该问题解决的时候再使用。


中国科技大学早就开始因为瑞星ARP干扰网络的问题对指定ip或端口进行封禁了。
中国科技大学 瀚海星云BBS 网络中心版面
其一原帖地址：http://bbs2.ustc.edu.cn/cgi/bbst ... file=T.1150248292.A
发信人: jameszhang(杰杰), 信区: USTCnet
标  题: ARP攻击的说明
发信站: 瀚海星云 (2006年06月14日09:27:01 星期三), 站内信件

最近校园网出现了很多异常的arp请求数据包，这些数据包的发送速率很高，达每秒钟
几百甚至几千个数据包。

有用户指出，可能是瑞星2008防火墙中的arp欺骗防御功能会引起异常的arp请求数据包。
因此安装了瑞星2008的请关闭该功能。

--------------------------------------------------------------------------------------------------

其二原帖地址：http://fbbs.ustc.edu.cn/cgi/bbsc ... T41B3DEA1&num=0
发信人: jameszhang(杰杰), 信区: USTCnet
标  题: 被封锁的交换机端口信息
发信站: 瀚海星云 (2004年12月06日12:28:58 星期一), 站内信件

以下交换机端口或计算机由于注明的原因被管理员关闭。
对于异常多arp请求，请禁用瑞星2008防火墙的arp攻击防御功能
排除故障后需要重新开通，宿舍接口请联系3601541网络中心工程部


中山大学 逸仙时空BBS
原帖地址：http://bbs.zsu.edu.cn/bbstcon?board=Virus&file=M.1193329975.A
发信人: IGI (IGI), 信区: Virus
标  题: 瑞星防火墙2008 v20.14.10有个恶心的bug
发信站: 逸仙时空 Yat-sen Channel (Thu Oct 25 13:42:55 2007), 转信

瑞星防火墙2008版20.14.10,2007-10-16更新的,加入arp防护功能,不过经过调查和实验
发现,它的arp防护功能超级恶心

当打开瑞星防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个
地址(不清楚为什么)

0000   ff ff ff ff ff ff 00 0c 29 2b 9e de 08 06 00 01  ........)+......
0010   08 00 06 04 00 01 00 0c 29 2b 9e de ac 12 38 fb  ........)+....8.
0020   00 00 00 00 00 00 ac 12 38 6a                    ........8j

不知道是设计人员以这样的方式来防arp还是本来就是bug,如果以这样的方式来防arp的话
个人觉得很恶心,毕竟一秒1000个的广播,量还是大了点


四川大学信息管理中心
原帖地址：http://imc.scu.edu.cn/scunic/2007-9/2007929113032.htm
关于使用瑞星2008免费版的提示
时间：2007年9月29日11:30 阅读521次
来源： 编辑：zbl  

四川大学各校园网用户：
    近期个别宿舍出现断网，某些认证用户出现了“未规范使用网络”等现象，针对这一情况，经过排查，发现均与瑞星2008的免费版本有关，装有该版本的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断；另外，发现该版本杀毒软件在个别用户安装后会影响正常认证上网。故建议各位校园网用户现在暂停使用瑞星2008杀毒软件及防火墙，等以后正式版本出来或该问题解决的时候再使用。

lyzzzz

[相关文章2]

引用:

瑞星回应吉林大学:防火墙并无设计缺陷


ugmbbc发布于 2007-11-27 14:45:17|5441 次阅读 字体：大 小 打印预览

11月27日午间,瑞星公司对外发出公开声明,就《吉林大学公告慎用瑞星2008防火墙》一事进行回应.瑞星证实,公告确实是吉林大学官方网站发出,不 过,问题的产生并非是因为瑞星产品缺陷,而是吉林大学用户自身.瑞星声明中显示,吉林大学这一案例是单独的个案,目前还没有在全国其他市场发现类似现象, 表示愿意协助其解决相关问题.并公开表示,瑞星不会因此修改产品.以下为其声明全文:


近日,一些网络媒体刊出了《吉林大学公告慎用瑞星2008防火墙》一文,称“瑞星个人防火墙 2008版有严重的设计问题,凡是使用瑞星2008防火墙软件并采用其缺省设置的计算机,会在网段内发送大量的错误的ARP广播包,不仅造成网段内网络线路不畅,而且使上联的路由器等网络设备的CPU负载满载.”

据了解,吉林大学官方网站确实有此公告,瑞星相信该校网络中也确实出现了该文所描述的现象.但是经过瑞星工程师的分析,导致其网络堵塞的原因并非瑞星产品缺陷,而是其校园网络和用户自身的原因.到目前为止,瑞星2008个人防火墙正被数千万用户使用,除了吉林大学的个案之外,并没有发现类似现象.

因此,瑞星公司不会对产品进行修改,但是我们愿意协助吉林大学解决相关问题,并提醒其他局域网用户避免类似问题.

我们认为,瑞星个人防火墙2008的ARP功能不存在设计缺陷,具体解释如下:

第一、ARP欺骗攻击是目前较为流行的一种欺骗手段,黑客可以利用ARP攻击进行病毒传播、信息监听、内容篡改、盗取网游、网银帐号等恶意攻击.为了解决这一问题,瑞星个人防火墙2008版新增加了ARP欺骗攻击防护功能.该功能可以有效地阻止因ARP攻击造成的上述各种问题,特别对网游、炒股软件等帐号的保护非常有效,因此受到广大用户的热烈追捧,并被部分用户认为是瑞星2008新品中最喜爱的功能之一.

第二、目前,全球安全业界公认的最有效的ARP防护技术,是通过向网内发送ARP广播获取真实的IP-MAC对应关系来实现的,瑞星所采用的就是这种技术.在一个管理完善的网络中,不会存在如此频繁的ARP攻击,只有在局域网中存在大量的ARP 攻击源,或者用户对ARP防火墙设置不当,才会导致此种情况发生.目前,有且仅有吉林大学称使用瑞星个人防火墙2008会造成严重问题

第三、瑞星个人防火墙2008版缺省设置不会开启ARP防护功能,数千万用户都可以作证.事实上,即使用户开启了ARP防护功能,默认情况下也只保护用户指定的IP,除非用户自行添加其它地址.因此吉林大学公告中所说的“采用其缺省设置就会导致网络线不畅”的情况完全不属实.

第四、随着黑客和病毒技术的不断发展,安全产品势必不断精进技术,增加更底层更强大更复杂的功能才能保护用户,如何处理好技术的复杂性和操作的简易性之间的矛盾,是全球所有安全厂商所面临的共同课题.正因为如此,瑞星2008新品才进行了史无前例的大规模公开测试和长达半年多时间的后期产品完善工作.目前数千万用户的使用证明,瑞星2008新品在大量应用创新的底层核心技术的同时,其适用性和易用性也是最好的.

第五、为了避免此类事件再次发生,瑞星公司建议:

1、 瑞星杀毒软件2008版及瑞星个人防火墙2008主要针对个人用户设计,对于校园网、企业网络等局域网环境,应该采用瑞星杀毒软件网络版等企业及安全产品进行防护,至少局域网本身应该拥有完善、可靠的安全管理机制,对接入局域网的用户行为进行有效的安全控制.

2、 瑞星杀毒软件2008版及瑞星个人防火墙2008新增了主动防御、ARP欺骗防护等功能.对于电脑初级用户,建议采用产品缺省设置即可.对于新产品中提供的高级设置等功能,如果用户不了解相关知识,建议不要随便修改设置.