隨著互聯網的高速普及，網絡廣播已經成為電臺傳播的新興媒介，它吸收了各種媒體的優點。而IPv6作為接替IPv4的存在，網絡廣播應用也只是時間問題。因此，IPv6網絡廣播安全就成為我們需要考慮的重要問題。

隨著互聯網用戶的不斷增長，原有的IP地址已經出現了匱乏的征兆。為了解決這個問題，新的IPv6協議產生了，這是能夠無限制地增加IP網址數量、擁有巨大網址空間、數據傳輸質量提高、安全性增強等特點的新一代互聯網協議。在未來的發展中，隨著客戶終端的增加，電臺也將會逐步在網絡廣播系統中使用IPv6協議，以適應新的主流技術的需要。

以IPv4協議為核心的互聯網，因其簡單性、靈活性和可擴展性獲得了巨大成功。然而，隨著電腦的普及，互聯網用戶與日俱增，現有IPv4因其地址空間嚴重不足、數據傳輸缺乏質量保證等特點，在一定程度上限制了音視頻等信號的傳輸，進一步阻礙了網絡廣播的發展。因此，互聯網技術的迅猛發展，促使全新的以IPv6協議為核心的互聯網升級換代，在網絡保密性、完整性方面有了更好的改進。它以更大的優勢在互聯網協議中占據更加重要的位置。隨著IPv6標準體系的不斷完善，IPv6逐步優化了協議體系結構，為業務發展創造機會，IPv6作為靈活、可擴展的下一代網絡核心協議，已逐漸從實驗階段走向實際應用。在不久的將來，IPv6終將代替IPv4，適應網絡發展的需求。

IPv6是一種新的協議。普遍認為，IPv6因有IPsec而比IPv4更安全，前景是廣闊的。但在實際部署IPv6網絡時，由于技術能力和現有設施不足，導致IPv6網絡廣播安全措施不夠完善，在發展過程中還存在諸多安全隱患，還有許多技術問題需要解決。逐步消除IPv6協議帶來的安全隱患，是值得探討的一個課題。

IPv6協議因其特有的脆弱性，易于受到多方面的攻擊：

1、利用DNS攻擊

新一代互聯網協議IPv6離不開DNS（域名系統）。IPv6網絡中的DNS服務器，是一個容易被黑客作為攻擊對象的關鍵主機。由于IPv6的地址空間太大，很多IPv6的網絡都會使用動態的DNS服務。一旦攻擊者攻占了這臺動態DNS服務器，就可以得到大量在線IPv6的主機地址。因為IPv6的地址是128位，不好記憶。網絡管理員可能會使用好記的IPv6地址，這些地址可能會被編輯成類似字典的東西，攻擊者很有可能根據這些特征猜到IPv6主機。此外，攻擊者可以利用這些信息掌握網絡中其它網絡通信設備，并利用這些信息實施攻擊。比如，攻擊者可以宣告錯誤的網絡前綴、路由信息等，從而使網絡不能正常工作，或將網絡流量導向錯誤的地方。因此，網絡管理員在對主機賦予IPv6地址時，應該盡量對自己的IPv6地址進行隨機化，使用不容易記憶的地址，能在一定程度上減少主機被黑客發現的機會。對于關鍵主機的安全需要特別重視，否則，黑客就會著手攻擊整個網絡。

2、鄰居發現協議NDP(NeighborDiscoveryProtocol)

鄰居發現協議ND(NeighborDiscoveryProtocol)是IPv6協議一個重要的組成部分，它實現了路由器和前綴發現、地址解析、下一跳地址確定、重定向、鄰居不可達檢測、重復地址檢測等功能。因此，攻擊者往往利用它來發送錯誤的路由器宣告、錯誤的重定向消息等，讓IP數據流向不確定的方向，進而可以達到拒絕服務、攔截和修改數據的目的。

鄰居發現協議通過規定跳限制域最大域255來防止鏈路外的攻擊。但對鏈路內攻擊卻無法阻止，因為內攻擊者可以利用IPv6無狀態地址自動配置，很方便地接入同一鏈路進行攻擊。如下圖所示：如果甲想要知道乙的MAC地址，就要發送NS(NeighborSolication)給多有的節點，攻擊者接收到此請求，就會發送NA響應甲，即可達到中間人攻擊。

IETF在2002年成立了安全鄰居發現協議工作組SEND(SecureNeighborDiscovery)以來，研究和解決鄰居發現協議中的安全問題，并通過了RFC3971安全鄰居發現協議SEND。

3、廣播放大攻擊（Smurf）

Smurf攻擊是以最初發動這種攻擊的程序名“Smurf”來命名的，這種攻擊方法結合使用了IP欺騙和ICMP回復方法，使大量網絡傳輸充斥目標系統，引起目標系統拒絕為正常系統服務。廣播放大攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包，淹沒受害主機，最終導致該網絡所有主機都對ICMP應答請求做出答復，導致網絡阻塞。還有更嚴重的問題是，Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。攻擊者為了達到目的，通常會偽造大量的echo請求包給目標A和B，這些包的源IPv6地址不是攻擊者本身的地址，而是受害者某個全球單播地址，目標收到echo請求后都會將echo響應發往受害者，這樣的反射流將會大量消耗受害者或者受害者所在網絡的帶寬和處理資源。如下圖所示：

RFC2463規定不會對組播或鏈路廣播地址回復。為了防止廣播放大攻擊，就要對IPv6組播地址進行ingress過濾（RFC2267，RFC2827）和升級系統支持RFC2463。

4、數據包頭更改和分片技術

攻擊者可以增加無限的IPv6擴展包頭，來探測和攻擊分片技術。當需要傳輸的IP數據包超過鏈路所能支持的最大傳輸單元（mtu）時,一個原始IP數據包將被拆分成多個分片包;當屬于同一個原始IP數據包的分片包到達目的節點之后,由目的節點完成分片包的重組。由于IPv6比較特殊，中間的網絡設備不參與分片和組裝，IPv6的分片操作只能在源節點進行。所以，為了減少受到攻擊的幾率，我們應該對網絡設備的分片、不需要的擴展包頭、小于128字節的數據包等進行提前過濾。

5、蠕蟲和病毒

蠕蟲是一種通過網絡傳播的惡性病毒，在傳播性、潛伏性、不可預見性、針對性、隱蔽性、破壞性等方面具有病毒的一些共性，同時具有文件寄生（有的只存在于內存中）、對網絡造成拒絕服務以及和黑客技術相結合等一些個性特征。蠕蟲病毒以其快速、多樣化的傳播方式不斷給網絡世界帶來災害。網絡的發展使蠕蟲可以在很短時間內蔓延整個網絡，造成網絡癱瘓，可見其破壞性不是一般病毒所能與之相提并論的，這造就了一個談毒色變的的網絡世界！傳統的蠕蟲和病毒在IPv6中沒有太大變化，但由于IPv6地址空間巨大，難以逐一掃描，蠕蟲和病毒的傳播會比較困難，針對TCP/IP（e.g.Slammertypes）不再有效。但是E-MailWorms將繼續存在，而MessengerandP2PWorms也將來臨，因此，防范病毒不但要從管理上著力，還要從技術措施上著手，安裝蠕蟲和病毒檢測系統是必不可少的。

凡涉及網絡上信息的保密性、可用性、真實性等，都是網絡安全研究的領域。盡管IPv6協議在網絡安全上做了多項改進，但是其引入也帶來新的安全問題。目前，多數網絡攻擊和威脅來自應用層而非IP層，因此，保護網絡信息安全，除了技術改進，還需配合認證體系、加密體系、密鑰分發體系、可信計算體系等多種手段。在完善IPv6網絡的安全問題上，我們還有很長的路要走。

隨著技術的不斷進步，電臺的計算機網絡系統也將逐步引入IPv6進行試驗。在時機成熟的條件下，將會考慮在部分網絡中試運行IPv6。如果在IPv6網絡廣播安全性及性能上有較大提高，就可能大范圍鋪開新的IP協議的使用。這不但是技術上的一次突破，也將在安全性上得到較好的完善，從而保證網絡廣播系統的各種網絡穩定安全運行。