本研究通过控制实验揭示了互联网上IPv6扫描器的扫描策略。作者利用一个大型未使用的/56 IPv6子网，通过托管与IPv6服务器直接或间接交互的应用程序（如Web浏览、NTP池成员、Tor网络），选择性地使子网部分对扫描器可见。实验设计消除了隐藏变量对扫描的影响，建立了IPv6主机活动类型与扫描器关注度之间的因果关系。结果显示，主机活动（如Web浏览、NTP池和Tor网络参与）会导致扫描器向子网发送数量级更高的未请求IP扫描和反向DNS查询。DNS扫描器将扫描集中在托管应用程序的窄地址区域，而IP扫描器则广泛扫描整个子网。即使主机活动停止，仍观察到针对先前托管应用程序地址空间的持续残余扫描。本工作为理解IPv6扫描器行为提供了新视角，有助于改进IPv6网络安全监测和防御策略。