怀疑此帖子信息的真伪！

jpzy

http://bbs.kafan.cn/viewthread.php?tid=155758&extra=page%3D1&page=1

我对这个帖子的消息的真实性表示怀疑，希望管理层予以查实，并酌情处理！

ghj89100062

个人觉得
不大可信

xiaopangwa

偶觉得不可信。。。。。

魂飞仙

应该不可能吧...不然网上怎么没多声响啊

爱·妖姬

简直就是不可能!学校就算觉得有问题一般也会自己解决,不会这么高调批评某个软件 况且还是吉大这些知名大学 它居然叫自己的学生怎么怎么解决或者不用?难道它不会和瑞星联络解决?扯蛋 难道它学校的网关自己不会用别的软件拦截过量的数据包?我们学校的校园网都懂得这样做,更何况是吉大![:27:] 彩影墙在拦截非网关广播那里都有提示校园网用户不建议使用,瑞星没有相应提示?不大信!

HorseLuke

不是假的。我可以确定

HorseLuke

首先转一下我在
http://bbs.janmeng.com/viewthrea ... p;extra=&page=1
这里的回帖。

62楼。

如果各位是校园网的话，应该听过一个软件：AntiARP（以前免费；现在只有15天试用期，过期会强行改主页，所以现在我就改掉不用这个软件了: 123418）

该软件在4.0.0加入了主动防御的功能，官方对此的解释是：“主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全。”*它有3个选项：停用，警戒，始终运行。还有防御速度。



但是，如果设置不当，那就的确对校园网造成负面影响了——过快地进行这些arp数据包的发送，那么结果跟arp病毒没什么两样，都造成了arp洪流攻击。
这就是当时我们学校网络中心老师的两张帖子，都解释得很明白了。


1**、Wed Mar 28 16:37:20 2007

[quote]
如图（即上图），在软件的“软件设置”档里，“主动防御选项”请设置为“警戒”！

如果要设置为“始终运行”，请把“防御速度”设置为5以下的值。


为什么要这样设置？　因为在学校里，一栋宿舍楼是一个广播域，假设一栋楼有100人使用Anti ARP Sniffer软件，他们把防御速度设为“100”，那么每一秒钟由Anti ARP Sniffer发出的ARP数据包就有 100 * 100 = 10000个！　这样本身就会严重影响交换机的正常工作。

过快的ARP防御（其实就是Anti ARP Sniffer软件主动发出一些ARP数据包）并不会对正常使用网络有任何好处，我个人认为设置值为5就好了，平时使用时设置为“警戒”就应该可以正常保护系统。

请大家更改一下设置并通知别的同学一下，不要让Anti ARP Sniffer反过来影响我们网络的正常使用。

2***、Thu Mar 29 17:09:36 2007

请使用Anti ARP Sniffer的同学马上如我之前所说的：

http://202.116.32.92:8080/wForum/disparticle.php?boardName=NC&ID=13387&pos=20

如图，在软件的“软件设置”档里，“主动防御选项”请设置为“警戒”！  
  
如果要设置为“始终运行”，请把“防御速度”设置为5以下的值。  


必须这样设置，我们已经在大学城的核心交换机上开启了ARP泛洪攻击防御功能，如果Anti ARP Sniffer的主动防御包发送过快，可能导致核心交换机认为用户的电脑在对其进行ARP泛洪攻击而暂时删除用户电脑在核心交换机上对应的MAC地址表项。
如果过一段时间未检测到用户新的攻击，核心交换机会恢复用户对应的MAC地址表项。


2、Anti ARP Sniffer 已经升级到 4.0.2 版，大家可以到 av.scnu.edu.cn 下载，新版在你设置开启主动防御选项的“始终运行”功能时会提示这种功能对网络的影响，推荐大家使用新版。

好了，从antiarp可以看出瑞星2008的什么问题呢（假如LZ说的情况属实）？

1、antiarp，1秒最多只能发送200个包（已经规定好的，看图；而且4.0.2开始有“在你设置开启主动防御选项的‘始终运行’功能时会提示这种功能对网络的影响”，这说明过快过多发包造成网络问题确实是存在的），然而瑞星2008“每秒可以达到1000个以上”，想“以快打快”——发送的防御速度可能是比arp病毒快了，但是根本没有考虑多个用户同时发送的情况（1000*10都已经是很恐怖的情形了: 123439 ）。另外，假如有arp病毒更快发送广播包呢？

2、瑞星对于arp病毒防御的研究还是不太深入，还不能自动设置可信任的物理地址——假如设置错误，滥发，还发错包，那么对网络影响就真得不小了。





所以学校关于停用瑞星防火墙2008的通知并非毫无道理。我们也要等他们瑞星的改进
这些还真应该向antiarp学学，虽然现在的版本有人反应并不管用: 123412 ，还强行改主页: 123418 ，迫使我使用antiarp-dns（http://www.yulv.net/）。



以上意见欢迎指正。


参考资料
*：http://www.antiarp.com/about.htm
**：http://202.116.32.92:8080/wForum/disparticle.php?boardName=NC&ID=13387&pos=20
***：http://202.116.32.92:8080/wForum/disparticle.php?boardName=NC&ID=13468&pos=11
[/quote]

后来我在学校的帖子中（http://202.116.32.92:8080/wForum ... ;ID=17397&pos=9）发现，瑞星的arp绑定，针对的不仅仅是网关，还有同网段内的电脑（因为它默认是开启“ARP欺骗防御”中的“防御局域网中所有计算机”的功能 ）。这就造成一个很大的问题——假如IP是动态分配的，然后此时IP被分配到其它电脑，此时瑞星很可能会提示说“arp包内容有地址冲突，请选择一个你信任的地址（详细请咨询网络管理员）”，难道要管理员一台台查看即时的IP-MAC地址对应关系？而用户一旦选错，那么arp风暴问题还是难以避免......


以下是吉林大学网络中心《关于谨慎使用瑞星2008防火墙软件的紧急通知》的原文：
http://www0.jlu.edu.cn/ip/rising_bbs.html

另外，学校觉得有问题，是很少找杀毒厂商的——毕竟这些都是单机用户，而不是网络版，是得不到技术支持的。

[ 本帖最后由 HorseLuke 于 2007-11-15 11:15 编辑 ]

黄和

有这么严重？还好我已经改用卡巴了

1workstar

我反正没用瑞星，无所谓

sddmao

看来是真实的