瑞星2008被指危險(xiǎn):未考慮極端情況?

字號:

記者關(guān)于瑞星2008殺毒軟件被指比病毒危險(xiǎn)的報(bào)道引起了企業(yè)和殺毒廠商的高度關(guān)注,而最關(guān)心的問題就是瑞星2008究竟有沒有問題?究竟有沒有設(shè)計(jì)缺陷,或者只是沒有考慮到極端情況?
    現(xiàn)狀:不能確認(rèn)正式版完全沒有問題
    為此,記者聯(lián)系到瑞星公司市場部的郝婷,得到了關(guān)于ARP廣播包事件的最新進(jìn)展。她表示,“派到吉林大學(xué)的瑞星團(tuán)隊(duì)已經(jīng)和吉林大學(xué)做了很好的溝通,雙方達(dá)成了一些共識。吉林大學(xué)已經(jīng)明確表示會再出一個公告,把整個事件說明一下,這樣對媒體和一些有質(zhì)疑的人會有一個官方的說法。相信近期這個公告就可以在吉林大學(xué)網(wǎng)站上看到。而如果吉林大學(xué)的網(wǎng)絡(luò)以后再出現(xiàn)安全方面的問題,瑞星也會第一時間派出專家協(xié)助他們解決問題?!睂τ诖ù蟮那闆r,她也表示一切順利。
    記者再次連線四川大學(xué)信息管理中心的姜老師詢問情況。他表示:“解除限制后,雖然有時候網(wǎng)段內(nèi)還是有很多的ARP廣播包發(fā)送,但是我們沒有確切的證據(jù)證明這個就是因?yàn)槿鹦堑膯栴}而發(fā)送這樣多的廣播包,因?yàn)橐部赡苁遣《驹诎l(fā)送?!痹趩柕饺鹦菆F(tuán)隊(duì)對ARP廣播包問題的調(diào)研有無結(jié)果時,姜老師說:“瑞星并沒有對川大的這個問題作出明確的結(jié)論,到底是哪方的問題。但是根據(jù)我們學(xué)校的具體情況,他們說在新的升級包里已經(jīng)改變了一些策略。我們還在觀察,看有沒有效果。對正式版的使用也同樣在觀察中,還不能確認(rèn)正式版就完全沒有問題?!?BR>    CCERT:ARP欺騙利用的是ARP協(xié)議本身的缺陷
    中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組(CCERT)是指CERNET網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的總稱,對中國教育和科研計(jì)算機(jī)網(wǎng)及會員單位的網(wǎng)絡(luò)安全事件提供快速的響應(yīng)或技術(shù)支持服務(wù)。
    該機(jī)構(gòu)的網(wǎng)絡(luò)安全工程師鄭先偉在接受記者采訪時表示,“我沒有測試過瑞星防火墻的保護(hù)機(jī)制會不會大量發(fā)ARP包。但是從保護(hù)原理上來說,病毒主機(jī)每向網(wǎng)關(guān)發(fā)送一個ARP欺騙包,客戶端防火墻為了更正網(wǎng)關(guān)的ARP緩存表也必須向網(wǎng)關(guān)發(fā)送一個正確的ARP包,這就是說只要病毒不停的發(fā),防火墻也會不停的發(fā)。一開始我們開發(fā)名為ARPFix的防火墻時也使用過這個手段,但是后來考慮到可能會產(chǎn)生大量的ARP包,所以最后放棄了?!?BR>    在CCERT網(wǎng)站的 “ARP欺騙病毒專題”里,記者也看到這樣一段文字,“因?yàn)锳RP欺騙利用的是ARP協(xié)議本身的缺陷,所以到目前為止,我們依然沒有一個十分有效的方法去控制這種攻擊。目前難點(diǎn)主要集中在網(wǎng)關(guān)交換機(jī)上,我們還沒有找到一個很有效的方法來防范網(wǎng)關(guān)上的ARP列表不被欺騙修改。所以當(dāng)前的辦法還是迅速阻斷這種攻擊的來源。這就要求能夠快速檢測到攻擊并定位出攻擊主機(jī)位置后加以處理?!?BR>    金山:瑞星沒有考慮極端情況
    作為國內(nèi)另一家反病毒知名企業(yè)的金山軟件也開發(fā)了基于ARP的殺毒藥軟件。金山公司的反病毒工程師李鐵軍向記者介紹:“采用通知網(wǎng)關(guān)的方法防止ARP欺騙,是應(yīng)對ARP欺騙的方法之一,采用這種方法,要考慮到極端情況,比如在校園網(wǎng)這種復(fù)雜的網(wǎng)絡(luò)環(huán)境,如果所有客戶機(jī)都這樣做,就會導(dǎo)致網(wǎng)絡(luò)異常。是使用其它方法,避免用戶誤操作。所以,殺毒廠商在采用這種方法時要盡量謹(jǐn)慎。用網(wǎng)友的話說,局域網(wǎng)中很多客戶機(jī)采用通知網(wǎng)關(guān)的方法防止ARP攻擊,是殺敵1000,自損1200的作法,很容易導(dǎo)致網(wǎng)絡(luò)風(fēng)暴,安全廠商應(yīng)該引導(dǎo)用戶避免錯誤設(shè)置,比如產(chǎn)品界面應(yīng)告知風(fēng)險(xiǎn),提醒用戶小心操作?!?BR>    李鐵軍表示,日前金山也發(fā)布了自己的金山毒霸防ARP攻擊軟件。該防火墻采用的是雙向攔截ARP攻擊包,包括其他計(jì)算機(jī)對本地的ARP攻擊以及本機(jī)對其他計(jì)算機(jī)的ARP攻擊。它會阻止局域網(wǎng)中其它機(jī)器發(fā)起的ARP攻擊,從很大程度上起到了控制ARP欺騙包泛濫的問題。另外,記者也發(fā)現(xiàn)金山的ARP防火墻也有跟瑞星類似的選項(xiàng),只是默認(rèn)是沒有勾選的。李鐵軍對此解釋:”當(dāng)必要的時候,可以勾選上這個選項(xiàng),并且可以自己定義設(shè)置發(fā)包次數(shù)。這就好比根據(jù)自己的需要來設(shè)置喊還是不喊,喊的話喊幾聲。這樣就可以在必須的時候主動通知網(wǎng)關(guān),又能把對網(wǎng)絡(luò)資源的占用在自己可控的范圍內(nèi)進(jìn)行?!暗牵脖硎窘鹕讲煌扑]采用通知網(wǎng)關(guān)的方式來防止ARP欺騙,并且會在產(chǎn)品界面上給用戶以適當(dāng)提醒。