隨著互聯(lián)網(wǎng)的高速普及，網(wǎng)絡(luò)廣播已經(jīng)成為電臺傳播的新興媒介，它吸收了各種媒體的優(yōu)點(diǎn)。而IPV6作為接替IPv4的存在，網(wǎng)絡(luò)廣播應(yīng)用也只是時間問題。因此，IPV6網(wǎng)絡(luò)廣播安全就成為我們需要考慮的重要問題。

隨著互聯(lián)網(wǎng)用戶的不斷增長，原有的IP地址已經(jīng)出現(xiàn)了匱乏的征兆。為了解決這個問題，新的IPV6協(xié)議產(chǎn)生了，這是能夠無限制地增加IP網(wǎng)址數(shù)量、擁有巨大網(wǎng)址空間、數(shù)據(jù)傳輸質(zhì)量提高、安全性增強(qiáng)等特點(diǎn)的新一代互聯(lián)網(wǎng)協(xié)議。在未來的發(fā)展中，隨著客戶終端的增加，電臺也將會逐步在網(wǎng)絡(luò)廣播系統(tǒng)中使用IPV6協(xié)議，以適應(yīng)新的主流技術(shù)的需要。

以IPv4協(xié)議為核心的互聯(lián)網(wǎng)，因其簡單性、靈活性和可擴(kuò)展性獲得了巨大成功。然而，隨著電腦的普及，互聯(lián)網(wǎng)用戶與日俱增，現(xiàn)有IPv4因其地址空間嚴(yán)重不足、數(shù)據(jù)傳輸缺乏質(zhì)量保證等特點(diǎn)，在一定程度上限制了音視頻等信號的傳輸，進(jìn)一步阻礙了網(wǎng)絡(luò)廣播的發(fā)展。因此，互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，促使全新的以IPV6協(xié)議為核心的互聯(lián)網(wǎng)升級換代，在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)。它以更大的優(yōu)勢在互聯(lián)網(wǎng)協(xié)議中占據(jù)更加重要的位置。隨著IPV6標(biāo)準(zhǔn)體系的不斷完善，IPV6逐步優(yōu)化了協(xié)議體系結(jié)構(gòu)，為業(yè)務(wù)發(fā)展創(chuàng)造機(jī)會，IPV6作為靈活、可擴(kuò)展的下一代網(wǎng)絡(luò)核心協(xié)議，已逐漸從實(shí)驗(yàn)階段走向?qū)嶋H應(yīng)用。在不久的將來，IPV6終將代替IPv4，適應(yīng)網(wǎng)絡(luò)發(fā)展的需求。

IPV6是一種新的協(xié)議。普遍認(rèn)為，IPV6因有IPsec而比IPv4更安全，前景是廣闊的。但在實(shí)際部署IPV6網(wǎng)絡(luò)時，由于技術(shù)能力和現(xiàn)有設(shè)施不足，導(dǎo)致IPV6網(wǎng)絡(luò)廣播安全措施不夠完善，在發(fā)展過程中還存在諸多安全隱患，還有許多技術(shù)問題需要解決。逐步消除IPV6協(xié)議帶來的安全隱患，是值得探討的一個課題。

IPV6協(xié)議因其特有的脆弱性，易于受到多方面的攻擊：

1、利用DNS攻擊

新一代互聯(lián)網(wǎng)協(xié)議IPV6離不開DNS（域名系統(tǒng)）。IPV6網(wǎng)絡(luò)中的DNS服務(wù)器，是一個容易被黑客作為攻擊對象的關(guān)鍵主機(jī)。由于IPV6的地址空間太大，很多IPV6的網(wǎng)絡(luò)都會使用動態(tài)的DNS服務(wù)。一旦攻擊者攻占了這臺動態(tài)DNS服務(wù)器，就可以得到大量在線IPV6的主機(jī)地址。因?yàn)镮PV6的地址是128位，不好記憶。網(wǎng)絡(luò)管理員可能會使用好記的IPV6地址，這些地址可能會被編輯成類似字典的東西，攻擊者很有可能根據(jù)這些特征猜到IPV6主機(jī)。此外，攻擊者可以利用這些信息掌握網(wǎng)絡(luò)中其它網(wǎng)絡(luò)通信設(shè)備，并利用這些信息實(shí)施攻擊。比如，攻擊者可以宣告錯誤的網(wǎng)絡(luò)前綴、路由信息等，從而使網(wǎng)絡(luò)不能正常工作，或?qū)⒕W(wǎng)絡(luò)流量導(dǎo)向錯誤的地方。因此，網(wǎng)絡(luò)管理員在對主機(jī)賦予IPV6地址時，應(yīng)該盡量對自己的IPV6地址進(jìn)行隨機(jī)化，使用不容易記憶的地址，能在一定程度上減少主機(jī)被黑客發(fā)現(xiàn)的機(jī)會。對于關(guān)鍵主機(jī)的安全需要特別重視，否則，黑客就會著手攻擊整個網(wǎng)絡(luò)。

2、鄰居發(fā)現(xiàn)協(xié)議NDP(NeighborDiscoveryProtocol)

鄰居發(fā)現(xiàn)協(xié)議ND(NeighborDiscoveryProtocol)是IPV6協(xié)議一個重要的組成部分，它實(shí)現(xiàn)了路由器和前綴發(fā)現(xiàn)、地址解析、下一跳地址確定、重定向、鄰居不可達(dá)檢測、重復(fù)地址檢測等功能。因此，攻擊者往往利用它來發(fā)送錯誤的路由器宣告、錯誤的重定向消息等，讓IP數(shù)據(jù)流向不確定的方向，進(jìn)而可以達(dá)到拒絕服務(wù)、攔截和修改數(shù)據(jù)的目的。

鄰居發(fā)現(xiàn)協(xié)議通過規(guī)定跳限制域最大域255來防止鏈路外的攻擊。但對鏈路內(nèi)攻擊卻無法阻止，因?yàn)閮?nèi)攻擊者可以利用IPV6無狀態(tài)地址自動配置，很方便地接入同一鏈路進(jìn)行攻擊。如下圖所示：如果甲想要知道乙的MAC地址，就要發(fā)送NS(NeighborSolication)給多有的節(jié)點(diǎn)，攻擊者接收到此請求，就會發(fā)送NA響應(yīng)甲，即可達(dá)到中間人攻擊。

IETF在2002年成立了安全鄰居發(fā)現(xiàn)協(xié)議工作組SEND(SecureNeighborDiscovery)以來，研究和解決鄰居發(fā)現(xiàn)協(xié)議中的安全問題，并通過了RFC3971安全鄰居發(fā)現(xiàn)協(xié)議SEND。

3、廣播放大攻擊（Smurf）

Smurf攻擊是以最初發(fā)動這種攻擊的程序名“Smurf”來命名的，這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法，使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)服務(wù)。廣播放大攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包，淹沒受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)所有主機(jī)都對ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。還有更嚴(yán)重的問題是，Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。攻擊者為了達(dá)到目的，通常會偽造大量的echo請求包給目標(biāo)A和B，這些包的源IPV6地址不是攻擊者本身的地址，而是受害者某個全球單播地址，目標(biāo)收到echo請求后都會將echo響應(yīng)發(fā)往受害者，這樣的反射流將會大量消耗受害者或者受害者所在網(wǎng)絡(luò)的帶寬和處理資源。如下圖所示：

RFC2463規(guī)定不會對組播或鏈路廣播地址回復(fù)。為了防止廣播放大攻擊，就要對IPV6組播地址進(jìn)行ingress過濾（RFC2267，RFC2827）和升級系統(tǒng)支持RFC2463。

4、數(shù)據(jù)包頭更改和分片技術(shù)

攻擊者可以增加無限的IPV6擴(kuò)展包頭，來探測和攻擊分片技術(shù)。當(dāng)需要傳輸?shù)腎P數(shù)據(jù)包超過鏈路所能支持的最大傳輸單元（mtu）時,一個原始IP數(shù)據(jù)包將被拆分成多個分片包;當(dāng)屬于同一個原始IP數(shù)據(jù)包的分片包到達(dá)目的節(jié)點(diǎn)之后,由目的節(jié)點(diǎn)完成分片包的重組。由于IPV6比較特殊，中間的網(wǎng)絡(luò)設(shè)備不參與分片和組裝，IPV6的分片操作只能在源節(jié)點(diǎn)進(jìn)行。所以，為了減少受到攻擊的幾率，我們應(yīng)該對網(wǎng)絡(luò)設(shè)備的分片、不需要的擴(kuò)展包頭、小于128字節(jié)的數(shù)據(jù)包等進(jìn)行提前過濾。

5、蠕蟲和病毒

蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，在傳播性、潛伏性、不可預(yù)見性、針對性、隱蔽性、破壞性等方面具有病毒的一些共性，同時具有文件寄生（有的只存在于內(nèi)存中）、對網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等一些個性特征。蠕蟲病毒以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害。網(wǎng)絡(luò)的發(fā)展使蠕蟲可以在很短時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓，可見其破壞性不是一般病毒所能與之相提并論的，這造就了一個談毒色變的的網(wǎng)絡(luò)世界！傳統(tǒng)的蠕蟲和病毒在IPV6中沒有太大變化，但由于IPV6地址空間巨大，難以逐一掃描，蠕蟲和病毒的傳播會比較困難，針對TCP/IP（e.g.Slammertypes）不再有效。但是E-MailWorms將繼續(xù)存在，而MessengerandP2PWorms也將來臨，因此，防范病毒不但要從管理上著力，還要從技術(shù)措施上著手，安裝蠕蟲和病毒檢測系統(tǒng)是必不可少的。

凡涉及網(wǎng)絡(luò)上信息的保密性、可用性、真實(shí)性等，都是網(wǎng)絡(luò)安全研究的領(lǐng)域。盡管IPV6協(xié)議在網(wǎng)絡(luò)安全上做了多項(xiàng)改進(jìn)，但是其引入也帶來新的安全問題。目前，多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層，因此，保護(hù)網(wǎng)絡(luò)信息安全，除了技術(shù)改進(jìn)，還需配合認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計算體系等多種手段。在完善IPV6網(wǎng)絡(luò)的安全問題上，我們還有很長的路要走。

隨著技術(shù)的不斷進(jìn)步，電臺的計算機(jī)網(wǎng)絡(luò)系統(tǒng)也將逐步引入IPV6進(jìn)行試驗(yàn)。在時機(jī)成熟的條件下，將會考慮在部分網(wǎng)絡(luò)中試運(yùn)行IPV6。如果在IPV6網(wǎng)絡(luò)廣播安全性及性能上有較大提高，就可能大范圍鋪開新的IP協(xié)議的使用。這不但是技術(shù)上的一次突破，也將在安全性上得到較好的完善，從而保證網(wǎng)絡(luò)廣播系統(tǒng)的各種網(wǎng)絡(luò)穩(wěn)定安全運(yùn)行。

來源：ZDNet網(wǎng)絡(luò)頻道