今天(5月14日,周一)一大早,我们部门的工作人员就把一份当天(5.14)的《京华时报》给我看,一个赫然的标题“清华万余台电脑感染病毒”,副标题是“‘ARP欺骗’病毒肆虐,百余宿舍网络端口被封”。
当时吓了一大跳:出了这么大事,我怎么会不知道?!从清华最早建设校园网至今,网络安全方面的风风雨雨我几乎都经历过;即便是2001年的红色代码、尼姆达、或者2003年的冲击波,曾经让整个校园网都瘫痪的病毒攻击事件,也远远没有达到这个数字,一万余台电脑中毒!也许占紫荆学生公寓上网机器的一半,学生早该炸了营似的闹翻天了吧!可能校长早都该召集我们开会了,说不定公安部都会给我打电话了!问了两个在紫荆住的学生,他们也不知道最近发生了这么大的事儿,真是怪了!
而且据该报称这种攻击“从4月10日开始”了,持续了一个多月、大规模的病毒攻击,我竟然毫不知情?!
我同事在网上搜索了一下,发现很多网站都已经转载了(这年头清华如果出点什么坏事儿,肯定特别吸引眼球):
清华万余台电脑感染病毒 百余宿舍网络端口被封:
http://news.xinhuanet.com/school/2007-05/14/content_6096297.htm
清华万余电脑感染病毒 百余宿舍网络端口被封
http://it.people.com.cn/GB/42891/42894/5727040.html
“ARP欺骗”肆虐 清华大学万余台电脑感染病毒
http://www.jyb.com.cn/xy/xysh/t20070514_83307.htm
仔细分析一下这篇报导:
“清华大学李同学反映:我住在学校紫荆公寓5号楼,从4月份开始,宿舍网速就变得非常慢,而且电脑总出现死机现象。开始我以为是电脑出了问题,但后来发现舍友和其他宿舍同学的电脑都不同程度出现这种情况。”
就ARP病毒而言,如果你的“电脑总出现死机现象”,几乎肯定是你的电脑出了问题。别人的电脑感染ARP病毒可能会引起网络变慢甚至不通的现象,但不会让你的电脑死机。你的电脑感染了ARP病毒,很有可能影响同一物理网段内其他的机器;所以,根据校园网目前的规定,为了保障其他用户正常的使用,暂时封掉你的端口、限制你的使用。
“记者核实:从4月10日起,已经陆续有100多个宿舍网络端口被封闭”。
不知道记者是怎样核实的。任何人用两分钟的时间就可以发现这一数字不准确。清华校园网用户服务把这些数字都公布在网上[见网址1中的封禁公告],所有的人都可以查询。我刚刚查询了一下,从4月10到月5月14日下午4点,被封的物理端口110个(每个物理端口对应一个个人用户),其中有的是占用“别人的 IP地址”、或者“私开DHCP服务”、“攻击他人且不改正”,真正由于“ARP欺骗”而且仍然没有解封的数字是74个。也许记者只是浏览了一下这个网页,就得出了“100多个”这一数字。
如果把70多个说成100多个,也没有什么大不了的。但是不应该叫“核实”。连看都没有细看,更别说“核实”了;即便你是个实习生,也不该犯这种错误吧!
“清华大学网管会服务组工作人员回复:一个物理端口受到“ARP病毒”攻击,整个IP地址段内的电脑都会无法上网,一个IP地址段最多有200多个用户,从4月份开始,学校累计已经超过万台电脑受到了影响,给学生生活和学习,以及教师的办公都带来了很大影响。”
这个解释不准确。如果一个物理端口的电脑感染ARP病毒,只会影响一个物理网络内的机器(专业一点:一个数据链路层的广播域)。一个C类的IP地址段(x.x.x.1 ~ x.x.x.254)不等于一个广播域,一个物理端口的机器感染影响一个IP地址段的200多用户,这种估算是没有依据的。当然这里我也不会因为网管会服务组工作人员不够专业而责怪他们。
由此,我们可以推断这篇报导的标题“万余台电脑感染病毒”是怎么计算出来的了。
(100多个端口) X (每个端口影响最多200台电脑)= 万余台电脑感染了病毒!!!
注意,即便上面的等式中左面的两个数字都正确,也只能得出“万余台电脑受到影响”,得不出“万余台电脑感染病毒”这样的结论来呀!?“影响到”就一定会感染吗?
如果这种逻辑成立的话,清华当年有4个SARS感染者(不一定准确,但一定是个位数),我们是不是可以推算“万余名清华学生都感染了SARS”?
如果同一个物理网段的两台电脑都感染了“ARP病毒”(病毒就近传播是常见的),它们影响到的是同一批电脑,上面的估算公式也太简化了。何况被封的端口是一个多月的累计,一旦被封掉,就不会影响到局域网内其他的计算机了。
继续往下看,才知道他们的逻辑是怎么来的了:
“清华大学网络中心工作人员回复:…… 只要有一台电脑受到病毒感染,病毒就会通过网络的物理端口,感染给局域网内的其他电脑”。
这是什么病毒啊,这么神奇?我研究计算机病毒有多年了,从理论到实践我都不算外行,在校园网安全运行管理中摸爬滚打六七年,怎么没有听说过?
(当然,所有网络病毒的传播都会经过交换机的物理端口,但这里强调“通过网络的物理端口”,显然是指“ARP病毒”的一些特殊的传播途径吧?)
我们目前正在整理相关的数据,ARP病毒的影响的确有所抬头,远没有但事实不会是新闻报导中所说的那么严重。
这位“李同学”和这位“实习生肖岳”同学,该不会因为自己的端口被封掉,就夸大其词、制造假新闻吧!(请原谅,我很少揣摩别人的动机,仅仅是猜测;如果有错,向二位道歉;前提是你们说的话、你的报道是事实。)
当然,清华校园网的确存在不少问题,特别是安全问题,这也是校园网的普遍现象。清华的宿舍区校园网异常复杂:多个厂家的设备、极高的用户密度、集中的上网高峰时间,各式各样的应用(特别是P2P)、对黑客技术感兴趣的用户...,没有问题才是怪事了。
我想我们会认真对待任何批评意见,我们也有反映问题的正常渠道。我不反对新闻媒体对这类事件的负面报导,但前提是,要说真话!针对ARP病毒,我们会采取进一步措施,改进和完善我们的工作。
所谓的“ARP欺骗病毒”,实际上是一大类病毒。“ARP欺骗”只是它表现的症状,就像“发烧”只是一种症状一样。目前大部分所谓的“ARP病毒”实际上只是木马,多数自身没有传播特性,但是可能通过网上下载的软件、通过恶意的网页脚本、通过电子邮件等方式传播,传播的途径没有什么特殊的地方。
从去年开始至今,全国几乎所有的校园网都在受 “ARP病毒”的困扰。清华校园网在一年多前就已经采取了很多控制措施,并且为ARP木马的防治建设了专栏[参见2]。由于现有商业化的防病毒软件对付不了ARP木马各种各样的变种,我们还专门开发了防止“ARP欺骗”的软件工具。我想清华校园网在ARP病毒的防范方面所采取的措施、自己开发专用的软件工具,并不是所有的校园网都能做到的。
当然在这个道高一尺,魔高一丈的比赛中,在目前的网络基础设施条件下,我们仍然没有彻底解决ARP欺骗一劳永逸的办法,对于感染病毒后被封端口的同学,我们还没有一个非常令人满意的解决方案,也的确有值得改进的地方,因此我并不责怪同学,只是觉得媒体应该认真核实,不要夸大其词,造成其他用户不必要的恐慌。岂不成了造谣生事了。
稍后我会写一篇关于“ARP病毒”的科普文章,解释ARP病毒原理和破坏,以及可能的防治措施。
以上只是本人的观点,不代表清华大学。时间仓促,难免有错,敬请批评指正。
[1]清华大学网络服务网站:http://netsupport.tsinghua.edu.cn/index.php
[2]清华校园网ARP木马防治专栏:http://netsupport.tsinghua.edu.cn/ARP/fjgg.php
|
段海新
