11月12日，吉林大学BBS上公告了一篇 “关于谨慎使用瑞星2008防火墙软件的紧急通知”，公告中指出“经过技术技术人员反复核查，确认‘瑞星2008防火墙软件’有严重设计问题”，并称“该软件对网络的干扰和破坏力甚至大于很多计算机病毒”。

该公告一出，网络上一片哗然。瑞星在杀毒领域耕耘多年，一直是国产杀毒软件的翘楚，与金山、江民一起坐拥国内杀毒软件市场超过70%的份额。如此一家拥有深厚技术背景的公司，果真出现了如此重大的“软件设计问题”？而根据iResearch的最新调查数据，瑞星杀毒软件的安装量接近4000万，如果真的如此，那这无疑是中国互联网的一次灾难。

为了查实该事件的来弄去脉，记者采访了多位业内人士。

“瑞星2008防火墙有严重问题”

据了解，最近一段时间以来，吉林大学网络管理部门十分忙碌。他们发现，学校网络中总是出现诸如主机CPU占用率奇高、路由器等网络设备CPU负载满载、网络线路不畅等故障。在对学校网络进行进一步监测之后证实，一切故障均来自一个罪魁祸首——ARP广播包。

“学校内的一些网段充斥着大量的ARP广播包，正是它们严重影响了网络的正常运行。”而当网管人员深入调查之后发现一个惊人的事实——如此海量的ARP广播包竟然来自瑞星2008防火墙软件。

11月13日，在经过反复核实之后，吉林大学的网站上终于发布了一则警示通告，通告中指出“如果采用其缺省设置，会在网段内发送大量的错误的ARP广播包”，并要求校内“谨慎使用瑞星2008防火墙软件”。

与此同时，记者在百度中搜索“瑞星 ARP广播”等关键词，也发现大量的网民投诉。甚至早在10月28日，就有用户在瑞星产品社区的“个人防火墙”论坛上发帖询问“为什么使用瑞星2008 ARP防火墙后会向外发送大量ARP广播包”，但瑞星方面并未对此帖做任何回复。

“危害超过很多计算机病毒”

在吉林大学的公告中，对该事件导致的后果描述得十分严重。公告称，瑞星2008防火墙软件“不仅造成网段内网络线路不畅，而且使路由器等网络设备的cpu负载满载，该软件对网络的干扰和破坏力甚至大于很多计算机病毒。”

事实果真如此严重？对此，一位从业十多年的资深网管表示，大量的ARP广播包流窜在局域网，这就无疑于洪水猛兽，“它们会产生连环效应，拖累整个网络。”

据互联网专家介绍，所谓ARP，就是“Address Resolution Protocol”（地址解析协议），它是关系着局域网各主机之间通信的重要协议，负责IP地址与MAC地址之间的转换。不少恶意程序就是通过伪造IP地址和MAC地址来实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

一位不愿意透露姓名的网管表示，瑞星防火墙的技术方案出发点是好的，但产生的后果实际上和这些ARP木马是一样的。

“问题出在设计方案上”

奇虎个人软件事业部总经理傅盛在接受采访的时候表示， ARP防火墙的正常逻辑应该是：在发现局域网内出现arp攻击时，应该仅仅保护自己所在的电脑，而不要对整个局域网进行所谓“安全广播”，否则，势必造成网络负载的进一步加重。如果发送频率很高的“arp安全广播”，那么即便arp病毒不存在了，网络也可能因为这些安全广播包的肆虐而瘫痪。“而根据目前的情况来，显然瑞星2008防火墙软件的技术方案存在重大缺陷，我们也接到了大量用户的投诉。”

傅盛进一步表示，瑞星2008防火墙监测到局域网中出现arp攻击或者网关地址更改时，它会不停的向局域网中同一网段的所有电脑发起频率很高的“安全”广播通报，这种“安全”的广播通报本意是好的，但是瑞星的开发人员显然没有考虑到高频率广播包所带来的副作用，这种副作用在一个局域网内多台电脑安装瑞星防火墙时尤为明显，这些所谓“安全”的广播包直接挤占大量网络带宽，浪费路由器和网关资源，最终直接导致了网络的瘫痪。

据了解，最近奇虎也发布了自己的ARP防火墙软件——360 ARP防火墙，该防火墙充分考虑了局域网内多台电脑安装的应用场景，通过在系统内核层拦截ARP攻击数据包，确保本台电脑网关正确的MAC地址不被篡改，同时，360arp防火墙不会向局域网内发送多余的arp广播包，不会加重网络负担，从而保证通讯数据安全、保证网络畅通。（完）

致瑞星用户：临时解决方案

对于这一事件，安全专家给出了临时的解决方案：凡是使用“瑞星2008防火墙软件”网络用户请马上关闭“ARP欺骗防御”中的“防御局域网中所有计算机”的功能，如下图所示：

将如上图的缺省设置改成“防护指定的计算机和静态规则地址”，如下图：