高校用户质疑瑞星2008 技术和新闻孰重孰轻

　　网络安全和杀毒软件市场素来是增长迅速竞争激烈的市场，同时也是最容易制造线年更是是非不断。瑞星公司最早在国内发布了2008的新款杀毒软件，可就是这款新产品招来了新麻烦：吉林大学等多所高校11月时纷纷在内部网上发布公告或者紧急通知称，使用瑞星2008有安全风险。

　　11月12日，吉林大学网络中心在校内网上贴出了一则“关于谨慎使用瑞星2008防火墙软件的紧急通知”。通知上说，校内一些网段内充斥着大量的ARP广播包，严重影响网络运行，经过技术人员反复核查，确认阻塞网络的正是“瑞星2008防火墙”。

　　吉林大学网络中心技术南校区的网管符太东回忆事发时的情况，“最早发现异常情况是11月9号，南校区有些IP段流量异常。然后发现我们的骨干路由器思科7609的负载突然不断攀升，直至80～90%，这在以前是没有过的，一旦冲到100%的话，整个校内网很有可能会面临瘫痪。”突发事件很快被上报到吉大网络中心技术设备组，通过反复验证，发现引发网络异常的不是病毒攻击，而是瑞星防火墙。

　　“当时发现很多学生都在用瑞星防火墙，在防火墙软件的ARP欺骗防御菜单里，有的学生在防护范围里选择了防护局域网中的全部计算机，问题就出在这里。因为选择防护范围后，电脑不断发包去探测网内的每一台计算机，数量非常巨大，路由器开始经受不住。” 网络中心技术设备组吴老师认为，“这完全是瑞星程序设计上的缺陷，它没有考虑到这一点。”

　　此事通过网络很快地传播开来，从11月中旬开始就有网络媒体发布了《吉林大学公告慎用瑞星2008防火墙》的新闻。随着事件的发展，又有更多的围绕瑞星2008设计缺陷的案例被挖掘出来。除吉大外，四川大学信息管理中心在稍早时也曾发布通告，提示本校师生“装有该版本（2008版瑞星防火墙）的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断，请暂停使用瑞星2008杀毒软件和防火墙。”

　　瑞星受高校质疑一事随即引发了轩然，各种论坛上就“校园网络是否因为瑞星2008防火墙而堵塞”展开了激烈讨论，有的网友还举例证明此事早有先例，并非偶然事件，并在论点后面附上各校反映类似问题的网络链接。比如在中国科技大学网内BBS里有同学说：“对于异常多的ARP请求，请禁用瑞星2008防火墙的ARP攻击防御功能”，中山大学的同学也发帖说：“当打开瑞星防火墙的ARP防护功能时，防火墙会以每秒1000个ARP包向外广播，询问同一个地址。”

　　ARP欺骗对于局域网中的用户到底有怎样的影响呢？记者从反病毒技术专家那里了解到，ARP是一种将IP地址转化成MAC地址的协议，在局域网中，当数据被送到一个IP地址后，就要通过这个协议来找到具体送到哪台计算机上。如果ARP存在欺骗，黑客就有可能先将某台电脑攻击至死机，然后把自己伪装成那台电脑，这样自然就埋下了安全隐患。

　　对于用户指责产品设计上存在缺陷，瑞星方面对此表示了坚决的否认。瑞星市场部在接受记者采访时说：“这是因为吉林大学的网管对于ARP攻击和防范的原理不太清楚，当时肯定是校内网内有病毒或者人为攻击，触发了瑞星2008防火墙的反应，因为到目前为止，还没有接到其他用户的反馈，瑞星防护ARP的技术绝对是目前主流的。”

　　瑞星公司还在第一时间向媒体发布声明，表明吉大网络堵塞一事与瑞星2008防火墙并无关联，同时，瑞星也表示，愿意动用自己的技术力量去帮助吉大解决这个问题，瑞星的技术专家和服务人员已经组成了应急技术小组，于11月28日赴吉大实地调查。

　　从瑞星的公开声明中可以看到，厂商坚持己方的技术过硬。此外，记者也调查了其他几家反病毒厂商，向几位技术专家获得关于此次事件的专业评论。卡巴斯基公司认为：“从客观角度来说，瑞星很可能是采用较老的技术。”但也有可能是由于单机版杀毒软件在校园局域网中不适用造成的。

　　金山杀毒软件工程师李铁军说：“ARP防火墙最根本的解决办法是在交换机和客户端之间双向绑定端口，对网管来说，简直是体力活，这种方式并不值得采纳。因为这样很容易导致网络风暴，安全厂商应该引导用户避免错误设置，比如产品界面应告知风险，提醒用户小心操作。”他认为，应当在必要的时候让用户自己定义设置发包次数，这样就可以在必须的时候主动通知网关，又能把对网络资源的占用在自己可控的范围内进行。

　　另外有一位不愿透露身份的网络安全技术人员这样分析：“ARP防火墙的确只能算是一种很傻的防范办法，但却基本有效。只要有效，对于瑞星来说，这就叫做技术领先，这就是商业卖点，反正用户们是永远不会知道的。”按照他的分析，瑞星的ARP技术构架忽略了一种大型网络环境，在这环境内一个网段存在很多机器，如果在这种环境内高速率发送广播，会产生非常多的回应，多到广播本身占据的流量可能阻塞网络，多到ARP包的横行使得交换机为了不断更新自己的mac-port对应表而疲于奔命，于是就会出现问题。

　　他还说：“如果仅从技术上讲，瑞星没有错，它的行为没有违反ARP协议的规定，仅仅是对于一些建议值作了修改，从这个角度来说，瑞星坚持自己的观点也无可厚非。然而问题确实存在，不然也不会接连有几所高校出内部通知，于是就有了这一段时间的这出闹剧，一不小心还可能有人会将此事上升到商业竞争或者娱乐大众的高度去了。”

　　纵观今年互联网安全产品市场，瑞星出镜的次数和频率无疑是高于其他厂商的。从年初借“熊猫烧香”与卡巴斯基的口水战，到误杀事件直至升级为诉讼，再到年底的这次被几所高校禁用风波，事件的中心人物瑞星和它的产品似乎开始遭受一场信任危机。

　　杀毒软件市场从来不缺少新闻，也是最不平静的。数年前，“逻辑炸弹”事件首开国产杀毒软件公司“监守自盗”的先河。“逻辑炸弹”尽管是针对非法破解者所采取的一种防卫举措，但客观上它起到了与病毒破坏同样恶劣的作用。后来的瑞星“专杀工具事件”虽然不是软件开发商故意所致，但也可以算得上是一次不合格产品坑害消费者的案例。

　　现在市场上的杀毒软件产品，看包装上都贴着好几个证明自身身价的标签。一种新病毒出来，常常会因为谁是“第一”而争得不亦乐乎。但是由于杀毒软件的特殊性，“开枪准”永远比“掏抢快”更加重要。对于用户们来说，反病毒产品的高稳定、高可靠性，永远比速度更重要。

　　另一方面，产品在公测或者使用中出现问题并非不可原谅，重要的是厂商对待错误的态度。一旦出现问题，厂商矢口否认，含糊其辞，甚至以此来大肆炒作，不解决用户问题，耽误了系统恢复时间，甚至造成不可修复的永久性损失，实在是一种本末倒置的行为。如此一来，用户对这样的杀毒软件厂商产生信任危机也就不足为奇了。