it-swarm-vi.tech

Windows 7: "độ phân giải tên localhost được xử lý trong chính DNS". Tại sao?

Sau 18 năm lưu trữ tệp trên Windows, tôi đã rất ngạc nhiên khi thấy điều này trong Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Có ai biết tại sao thay đổi này đã được giới thiệu không? Tôi chắc chắn phải có một số lý do.

Và, có lẽ phù hợp hơn, có bất kỳ khác những thay đổi quan trọng liên quan đến DNS trong Windows 7 không? Tôi hơi sợ khi nghĩ rằng một cái gì đó cơ bản như độ phân giải tên localhost đã thay đổi ... khiến tôi nghĩ rằng có những thay đổi tinh tế nhưng quan trọng khác đối với ngăn xếp DNS trong Win7.

46
Portman

Tôi đã kiểm tra với một nhà phát triển trong nhóm Windows và câu trả lời thực tế là vô hại hơn nhiều so với các câu trả lời khác cho bài đăng này :)

Tại một thời điểm nào đó trong tương lai, khi thế giới chuyển từ IPV4 sang IPV6, IPV4 cuối cùng sẽ bị vô hiệu hóa/gỡ cài đặt bởi các công ty muốn quản lý mạng đơn giản trong môi trường của họ.

Với Windows Vista, khi IPv4 được gỡ cài đặt và IPv6 được bật, truy vấn DNS cho địa chỉ A (IPv4) dẫn đến vòng lặp IPv4 (xuất phát từ tệp máy chủ). Điều này tất nhiên gây ra vấn đề khi IPv4 không được cài đặt. Cách khắc phục là di chuyển các mục nhập vòng lặp IPv4 và IPv6 luôn xuất hiện từ Máy chủ vào trình phân giải DNS, nơi chúng có thể bị vô hiệu hóa độc lập.

-Sean

30
Sean Earp

Windows 7 giới thiệu (tùy chọn) hỗ trợ cho DNSSEC xác thực. Các điều khiển có thể được tìm thấy trong "Chính sách phân giải tên" trong plugin "Chính sách nhóm cục bộ" (c:\windows\system32\gpedit.msc)

Thật không may, nó không hỗ trợ (AFAIK) RFC 5155NSEC3 bản ghi, mà nhiều nhà khai thác khu vực lớn (bao gồm .com) sẽ được sử dụng khi họ phát hành trực tiếp với DNSSEC trong vài năm tới.

7
Alnitak

Cho rằng ngày càng có nhiều ứng dụng trên Windows đang sử dụng IP để nói chuyện lại với chính họ, có thể bao gồm một số dịch vụ Windows, tôi có thể thấy ai đó thay đổi localhost để chỉ ra một nơi khác là một vectơ tấn công thú vị. Tôi đoán là nó đã được thay đổi như một phần của Microsoft SDL .

5
WaldenL

Tôi có thể thấy đây cũng là một nỗ lực nhằm củng cố an ninh của họ. Bằng cách "sửa" localhost để luôn trỏ đến loopback, họ có thể tránh được các cuộc tấn công ngộ độc DNS đang bắt đầu xuất hiện trong tự nhiên.

Mặc dù vậy, tôi đồng ý, nó hơi đáng lo ngại ở một số cấp độ ...

3
Avery Payne

Tôi sẽ tò mò muốn biết liệu người ta có thể định nghĩa lại localhost trong chính DNS hay không. Việc sử dụng các tệp văn bản rõ ràng để quản lý các cài đặt này có thể chưa bao giờ được coi là một cách thực hành tốt nhất về bảo mật. Dường như với tôi rằng các biện pháp bảo mật mới của Microsoft vượt ra ngoài việc ngăn chặn quyền truy cập root và đào sâu hơn vào các lỗ hổng sắc thái. Tôi không chắc chắn bao nhiêu người có thể đi trước một bước của mũ đen có động lực, bất kể.

2

Tôi nghĩ rằng nó có liên quan đến việc Microsoft triển khai RFC 3484 để chọn địa chỉ IP đích. Đây là một tính năng IPv6 được chuyển ngược sang IPv4 và ảnh hưởng đến Vista/Server 2008 trở lên. Thay đổi này phá vỡ vòng tròn DNS, vì vậy ngay cả khi điều này không trả lời câu hỏi của bạn, chắc chắn đây là một thay đổi lớn về DNS.

Thêm thông tin tại Mạng Microsoft Enterprise blog.

2
duffbeer703