来自互联网的相关信息显示，从2007年9月开始，CERNET的一些接入高校出现杀毒软件严重干扰网络正常运行的现象，问题波及中国科学技术大学、中山大学、四川大学、吉林大学等。

　　中国科学技术大学网络信息中心主任助理张焕杰告诉本刊记者，2007年10月20日，中国科学技术大学因为瑞星ARP干扰网络的问题，而对指定IP或端口实行封禁。

　　中山大学BBS上也有帖子称，“当打开瑞星防火墙的ARP防护功能时,防火墙会以每秒1000个ARP包向外广播,询问同一个地址”。

　　四川大学BBS上的帖子说，装有该版本的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断……

　　为了了解事件的基本情况，本刊采访了几位高校信息网络安全的相关负责人和有关专家。

　　中国科学技术大学网络信息中心 主任助理 张焕杰

　　中国科学技术大学校园网管理遇到的主要技术问题就是ARP欺骗的侵扰与影响。ARP攻击主要有两种，一种是针对客户端进行欺骗，这种攻击网络管理人员不易察觉；另一种是对网关上记录的客户机MAC地址进行篡改以达到攻击目的。相对而言，后一种攻击易被网管发现并修正。

　　但在对ARP攻击进行防护时，瑞星杀毒软件在防护过程中却可能引起更严重的ARP问题。由于该软件防火墙利用广播形式发送ARP修正包防护ARP攻击时，没有采取有效的限速措施，使每台机器达到每秒1000个广播数据包的发送量。这些广播数据包很容易拥堵在局域网通讯线路上，以至超出某些设备的处理能力，导致用户感觉上网速度很慢，甚至出现断线等情况。

　　从学校网络存在的自身问题来看，校园网络中使用的交换机中有一部分设备处理广播包的性能不好。当瑞星杀毒软件防火墙在更正网关ARP缓存表时，由于ARP包发送速率没得到有效限制，广播包数量多，导致这类交换机不能正常工作。另一方面，由于校园网针对的用户是学校广大师生，是一个较为开放的环境，在接入网络时没有太多的限制，在方便的同时也带来了较大的安全隐患。

　　从目前来看，安装了该杀毒软件2008版，当防火墙引起大量ARP包堵塞网络时，用户只要停止防火墙该功能的使用，就可以解决该问题。 同时，建议该杀毒软件厂商针对最近产品出现的问题，以正确的态度对待问题，以积极的措施解决问题。在产品开发过程中加上数据包限速的功能，应该能从源头上较好地解决问题。

　　但是，对于ARP病毒的攻击，由于ARP协议自身的缺陷，暂时我们还没有更有效的防护措施。只是在遇到某些恶意攻击的用户时，网络管理人员通过检查网关上的ARP表，定位用户，进行封杀。最后想劝告广大用户在上网玩游戏或浏览网页时，尽量去一些正规的网站，来共同抵制包括ARP欺骗在内的各种病毒的攻击。

　　中山大学信息与网络中心 网络管理部主任、高级工程师 何海涛

　　在日常的网络运行维护中，我们几乎遇到了所有类型ARP病毒的侵扰。而其中最严重的一种是ARP木马的入侵，它会在用户访问网页时进行中间人（MAN-IN-MIDDLE）的攻击，导致用户流量被木马截取，并且用户计算机也会被植入恶意代码。

　　最近，在中山大学也有一些用户在安装了瑞星杀毒软件2008版后，由于该软件防火墙中防护ARP木马侵入功能在防护过程中产生大量ARP更正包加重网关负荷，导致网速急剧下降，甚至掉线。要解决此问题，主要是先停止软件该功能的使用。

　　我们对ARP欺骗问题一直非常重视，在实践中提出了“一个原则，两个方式”的模式来解决ARP攻击。一个原则是：从接入层杜绝非法ARP流量，做到从源头整治。两个方式是：1.对于传统的接入环境，由于接入交换机功能不足，应在汇聚交换机上做IP和MAC地址的静态绑定，防止ARP病毒欺骗网关。这种病毒会在网关上产生错误的IP和MAC地址对应表。2.对于支持802.1X认证的接入环境，利用客户端软件与接入交换机联动，或者DHCP Snooping+ARP检测等方式，阻断非法ARP报文。

　　此外，在日常设备的运行维护中，注意与网络设备提供商做有效的沟通，及时反馈产品的使用情况。厂家也积极改进产品，完善功能，促进防护技术的不断发展。

　　我们认为，现在仍没有一个特别好的方法解决ARP攻击，广大用户必须要提高自己的防毒防护意识。要使用正版的软件，少浏览不正规网站，共同构建和谐网络。

　　北京理工大学 网络攻防与对抗实验室 孙建伟

　　从ARP解析和攻击的主要原理来分析，我们现在提出两个有成效的防范ARP攻击的方法。

　　第一种方式：静态ARP策略。即把常用的网关、服务器、打印机等设备的MAC地址固定到ARP列表中，使通信主机之间有了固定的静态地址。这样当ARP病毒再攻击网关时，PC机对该攻击便没反应了。

　　第二种方式：网段划分要小。即网络管理员在维护服务器正常工作时，不要只搞两层交换，而尽量使用三层交换。划分网段要尽量细小，使ARP欺骗范围被缩小，影响被降低。而且当网段足够小时，服务器、客户端不在同一个网段上，即使网络遭到攻击，由于此时通信走IP路由，网络连接也不会受到影响。

　　瑞星公司

　　针对此事件，本刊与瑞星公司相关负责人进行了沟通。瑞星在其提供的一份说明中指出，“部分吉林大学校内网用户使用了瑞星产品，由于我们对校园网络的复杂性，以及用户使用水平的差异性考虑不周，在瑞星个人防火墙2008的反ARP欺骗功能设置上，存在一定的缺陷，进而对校园网络产生一定的影响。”

　　瑞星公司表示，在该事件发生后，他们派出了核心工程师小组奔赴吉林大学，了解情况，随即升级产品，确保了瑞星2008个人防火墙在复杂网络环境的正常使用。

《中国教育网络》08年1月刊