隨著互聯(lián)網(wǎng)的高速普及，網(wǎng)絡(luò)廣播已經(jīng)成為電臺(tái)傳播的新興媒介，它吸收了各種媒體的優(yōu)點(diǎn)。而IPv6作為接替IPv4的存在，網(wǎng)絡(luò)廣播應(yīng)用也只是時(shí)間問(wèn)題。因此，IPv6網(wǎng)絡(luò)廣播安全就成為我們需要考慮的重要問(wèn)題。

隨著互聯(lián)網(wǎng)用戶的不斷增長(zhǎng)，原有的IP地址已經(jīng)出現(xiàn)了匱乏的征兆。為了解決這個(gè)問(wèn)題，新的IPv6協(xié)議產(chǎn)生了，這是能夠無(wú)限制地增加IP網(wǎng)址數(shù)量、擁有巨大網(wǎng)址空間、數(shù)據(jù)傳輸質(zhì)量提高、安全性增強(qiáng)等特點(diǎn)的新一代互聯(lián)網(wǎng)協(xié)議。在未來(lái)的發(fā)展中，隨著客戶終端的增加，電臺(tái)也將會(huì)逐步在網(wǎng)絡(luò)廣播系統(tǒng)中使用IPv6協(xié)議，以適應(yīng)新的主流技術(shù)的需要。

以IPv4協(xié)議為核心的互聯(lián)網(wǎng)，因其簡(jiǎn)單性、靈活性和可擴(kuò)展性獲得了巨大成功。然而，隨著電腦的普及，互聯(lián)網(wǎng)用戶與日俱增，現(xiàn)有IPv4因其地址空間嚴(yán)重不足、數(shù)據(jù)傳輸缺乏質(zhì)量保證等特點(diǎn)，在一定程度上限制了音視頻等信號(hào)的傳輸，進(jìn)一步阻礙了網(wǎng)絡(luò)廣播的發(fā)展。因此，互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，促使全新的以IPv6協(xié)議為核心的互聯(lián)網(wǎng)升級(jí)換代，在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)。它以更大的優(yōu)勢(shì)在互聯(lián)網(wǎng)協(xié)議中占據(jù)更加重要的位置。隨著IPv6標(biāo)準(zhǔn)體系的不斷完善，IPv6逐步優(yōu)化了協(xié)議體系結(jié)構(gòu)，為業(yè)務(wù)發(fā)展創(chuàng)造機(jī)會(huì)，IPv6作為靈活、可擴(kuò)展的下一代網(wǎng)絡(luò)核心協(xié)議，已逐漸從實(shí)驗(yàn)階段走向?qū)嶋H應(yīng)用。在不久的將來(lái)，IPv6終將代替IPv4，適應(yīng)網(wǎng)絡(luò)發(fā)展的需求。

IPv6是一種新的協(xié)議。普遍認(rèn)為，IPv6因有IPsec而比IPv4更安全，前景是廣闊的。但在實(shí)際部署IPv6網(wǎng)絡(luò)時(shí)，由于技術(shù)能力和現(xiàn)有設(shè)施不足，導(dǎo)致IPv6網(wǎng)絡(luò)廣播安全措施不夠完善，在發(fā)展過(guò)程中還存在諸多安全隱患，還有許多技術(shù)問(wèn)題需要解決。逐步消除IPv6協(xié)議帶來(lái)的安全隱患，是值得探討的一個(gè)課題。

IPv6協(xié)議因其特有的脆弱性，易于受到多方面的攻擊：

1、利用DNS攻擊

新一代互聯(lián)網(wǎng)協(xié)議IPv6離不開(kāi)DNS（域名系統(tǒng)）。IPv6網(wǎng)絡(luò)中的DNS服務(wù)器，是一個(gè)容易被黑客作為攻擊對(duì)象的關(guān)鍵主機(jī)。由于IPv6的地址空間太大，很多IPv6的網(wǎng)絡(luò)都會(huì)使用動(dòng)態(tài)的DNS服務(wù)。一旦攻擊者攻占了這臺(tái)動(dòng)態(tài)DNS服務(wù)器，就可以得到大量在線IPv6的主機(jī)地址。因?yàn)镮Pv6的地址是128位，不好記憶。網(wǎng)絡(luò)管理員可能會(huì)使用好記的IPv6地址，這些地址可能會(huì)被編輯成類似字典的東西，攻擊者很有可能根據(jù)這些特征猜到IPv6主機(jī)。此外，攻擊者可以利用這些信息掌握網(wǎng)絡(luò)中其它網(wǎng)絡(luò)通信設(shè)備，并利用這些信息實(shí)施攻擊。比如，攻擊者可以宣告錯(cuò)誤的網(wǎng)絡(luò)前綴、路由信息等，從而使網(wǎng)絡(luò)不能正常工作，或?qū)⒕W(wǎng)絡(luò)流量導(dǎo)向錯(cuò)誤的地方。因此，網(wǎng)絡(luò)管理員在對(duì)主機(jī)賦予IPv6地址時(shí)，應(yīng)該盡量對(duì)自己的IPv6地址進(jìn)行隨機(jī)化，使用不容易記憶的地址，能在一定程度上減少主機(jī)被黑客發(fā)現(xiàn)的機(jī)會(huì)。對(duì)于關(guān)鍵主機(jī)的安全需要特別重視，否則，黑客就會(huì)著手攻擊整個(gè)網(wǎng)絡(luò)。

2、鄰居發(fā)現(xiàn)協(xié)議NDP(NeighborDiscoveryProtocol)

鄰居發(fā)現(xiàn)協(xié)議ND(NeighborDiscoveryProtocol)是IPv6協(xié)議一個(gè)重要的組成部分，它實(shí)現(xiàn)了路由器和前綴發(fā)現(xiàn)、地址解析、下一跳地址確定、重定向、鄰居不可達(dá)檢測(cè)、重復(fù)地址檢測(cè)等功能。因此，攻擊者往往利用它來(lái)發(fā)送錯(cuò)誤的路由器宣告、錯(cuò)誤的重定向消息等，讓IP數(shù)據(jù)流向不確定的方向，進(jìn)而可以達(dá)到拒絕服務(wù)、攔截和修改數(shù)據(jù)的目的。

鄰居發(fā)現(xiàn)協(xié)議通過(guò)規(guī)定跳限制域最大域255來(lái)防止鏈路外的攻擊。但對(duì)鏈路內(nèi)攻擊卻無(wú)法阻止，因?yàn)閮?nèi)攻擊者可以利用IPv6無(wú)狀態(tài)地址自動(dòng)配置，很方便地接入同一鏈路進(jìn)行攻擊。如下圖所示：如果甲想要知道乙的MAC地址，就要發(fā)送NS(NeighborSolication)給多有的節(jié)點(diǎn)，攻擊者接收到此請(qǐng)求，就會(huì)發(fā)送NA響應(yīng)甲，即可達(dá)到中間人攻擊。

IETF在2002年成立了安全鄰居發(fā)現(xiàn)協(xié)議工作組SEND(SecureNeighborDiscovery)以來(lái)，研究和解決鄰居發(fā)現(xiàn)協(xié)議中的安全問(wèn)題，并通過(guò)了RFC3971安全鄰居發(fā)現(xiàn)協(xié)議SEND。

3、廣播放大攻擊（Smurf）

Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“Smurf”來(lái)命名的，這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法，使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)服務(wù)。廣播放大攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包，淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)所有主機(jī)都對(duì)ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。還有更嚴(yán)重的問(wèn)題是，Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。攻擊者為了達(dá)到目的，通常會(huì)偽造大量的echo請(qǐng)求包給目標(biāo)A和B，這些包的源IPv6地址不是攻擊者本身的地址，而是受害者某個(gè)全球單播地址，目標(biāo)收到echo請(qǐng)求后都會(huì)將echo響應(yīng)發(fā)往受害者，這樣的反射流將會(huì)大量消耗受害者或者受害者所在網(wǎng)絡(luò)的帶寬和處理資源。如下圖所示：

RFC2463規(guī)定不會(huì)對(duì)組播或鏈路廣播地址回復(fù)。為了防止廣播放大攻擊，就要對(duì)IPv6組播地址進(jìn)行ingress過(guò)濾（RFC2267，RFC2827）和升級(jí)系統(tǒng)支持RFC2463。

4、數(shù)據(jù)包頭更改和分片技術(shù)

攻擊者可以增加無(wú)限的IPv6擴(kuò)展包頭，來(lái)探測(cè)和攻擊分片技術(shù)。當(dāng)需要傳輸?shù)腎P數(shù)據(jù)包超過(guò)鏈路所能支持的最大傳輸單元（mtu）時(shí),一個(gè)原始IP數(shù)據(jù)包將被拆分成多個(gè)分片包;當(dāng)屬于同一個(gè)原始IP數(shù)據(jù)包的分片包到達(dá)目的節(jié)點(diǎn)之后,由目的節(jié)點(diǎn)完成分片包的重組。由于IPv6比較特殊，中間的網(wǎng)絡(luò)設(shè)備不參與分片和組裝，IPv6的分片操作只能在源節(jié)點(diǎn)進(jìn)行。所以，為了減少受到攻擊的幾率，我們應(yīng)該對(duì)網(wǎng)絡(luò)設(shè)備的分片、不需要的擴(kuò)展包頭、小于128字節(jié)的數(shù)據(jù)包等進(jìn)行提前過(guò)濾。

5、蠕蟲和病毒

蠕蟲是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，在傳播性、潛伏性、不可預(yù)見(jiàn)性、針對(duì)性、隱蔽性、破壞性等方面具有病毒的一些共性，同時(shí)具有文件寄生（有的只存在于內(nèi)存中）、對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等一些個(gè)性特征。蠕蟲病毒以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來(lái)災(zāi)害。網(wǎng)絡(luò)的發(fā)展使蠕蟲可以在很短時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓，可見(jiàn)其破壞性不是一般病毒所能與之相提并論的，這造就了一個(gè)談毒色變的的網(wǎng)絡(luò)世界！傳統(tǒng)的蠕蟲和病毒在IPv6中沒(méi)有太大變化，但由于IPv6地址空間巨大，難以逐一掃描，蠕蟲和病毒的傳播會(huì)比較困難，針對(duì)TCP/IP（e.g.Slammertypes）不再有效。但是E-MailWorms將繼續(xù)存在，而MessengerandP2PWorms也將來(lái)臨，因此，防范病毒不但要從管理上著力，還要從技術(shù)措施上著手，安裝蠕蟲和病毒檢測(cè)系統(tǒng)是必不可少的。

凡涉及網(wǎng)絡(luò)上信息的保密性、可用性、真實(shí)性等，都是網(wǎng)絡(luò)安全研究的領(lǐng)域。盡管IPv6協(xié)議在網(wǎng)絡(luò)安全上做了多項(xiàng)改進(jìn)，但是其引入也帶來(lái)新的安全問(wèn)題。目前，多數(shù)網(wǎng)絡(luò)攻擊和威脅來(lái)自應(yīng)用層而非IP層，因此，保護(hù)網(wǎng)絡(luò)信息安全，除了技術(shù)改進(jìn)，還需配合認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計(jì)算體系等多種手段。在完善IPv6網(wǎng)絡(luò)的安全問(wèn)題上，我們還有很長(zhǎng)的路要走。

隨著技術(shù)的不斷進(jìn)步，電臺(tái)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)也將逐步引入IPv6進(jìn)行試驗(yàn)。在時(shí)機(jī)成熟的條件下，將會(huì)考慮在部分網(wǎng)絡(luò)中試運(yùn)行IPv6。如果在IPv6網(wǎng)絡(luò)廣播安全性及性能上有較大提高，就可能大范圍鋪開(kāi)新的IP協(xié)議的使用。這不但是技術(shù)上的一次突破，也將在安全性上得到較好的完善，從而保證網(wǎng)絡(luò)廣播系統(tǒng)的各種網(wǎng)絡(luò)穩(wěn)定安全運(yùn)行。