it-swarm-ru.tech

Windows 7: «Разрешение имени локального хоста обрабатывается в самом DNS». Почему?

После 18 лет работы с хост-файлами в Windows я с удивлением увидел это в Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Кто-нибудь знает , почему это изменение было введено? Я уверен, что должна быть какая-то аргументация.

И, возможно, более уместно, есть ли другие важные изменения, связанные с DNS в Windows 7? Меня немного пугает мысль о том, что что-то столь же фундаментальное, как разрешение имен локальных хостов, изменилось ... заставляет меня думать, что есть и другие тонкие, но важные изменения в стеке DNS в Win7.

46
Portman

Я проверил с разработчиком в команде Windows, и фактический ответ гораздо более безобиден, чем другие ответы на этот пост :)

В какой-то момент в будущем, когда мир перейдет от IPV4 к IPV6, IPV4 в конечном итоге будет отключен/удален компаниями, которые хотят упростить управление сетью в своих средах.

В Windows Vista, когда IPv4 был удален, а IPv6 был включен, запрос DNS для адреса A (IPv4) привел к возникновению обратной петли IPv4 (полученной из файла hosts). Это, конечно, вызывало проблемы, когда IPv4 не был установлен. Исправление состояло в том, чтобы переместить всегда присутствующие записи обратной петли IPv4 и IPv6 с хоста в распознаватель DNS, где они могли быть независимо отключены.

-Sean

30
Sean Earp

В Windows 7 добавлена ​​(необязательно) поддержка DNSSEC проверки. Элементы управления можно найти в разделе "Политика разрешения имен" в плагине "Локальная групповая политика" (c:\windows\system32\gpedit.msc)

К сожалению, он не поддерживает (AFAIK) RFC 5155NSEC3 записей, которые многие операторы крупных зон (в том числе .com) будет использоваться, когда они начнут работать с DNSSEC в течение следующих нескольких лет.

7
Alnitak

Учитывая, что все больше и больше приложений в Windows используют IP для связи с самим собой, вероятно, включая несколько служб Windows, я мог видеть, что кто-то изменяет localhost, чтобы указать куда-то еще, как на интересный вектор атаки. Я думаю, что это было изменено как часть Microsoft SDL .

5
WaldenL

Я также вижу, что это попытка укрепить их безопасность. Путем "исправления" localhost, чтобы он всегда указывал на обратную петлю, они могут избежать атак отравления DNS, которые начинают появляться в дикой природе.

Я согласен, хотя, это немного беспокоит на некоторых уровнях ...

3
Avery Payne

Мне было бы любопытно узнать, можно ли переопределить localhost в самой DNS, хотя. Использование открытых текстовых файлов для управления этими настройками никогда не считалось лучшей практикой безопасности. Мне кажется, что новые меры безопасности Microsoft выходят за рамки предотвращения корневого доступа и углубляются в нюансы уязвимостей. Я не уверен, насколько можно оставаться на шаг впереди мотивированных черных шляп, несмотря ни на что.

2
EnocNRoll - Ananda Gopal

Я думаю, что это как-то связано с тем, что Microsoft реализует RFC 3484 для выбора IP-адреса назначения. Это функция IPv6, перенесенная обратно на IPv4, и влияет на Vista/Server 2008 и выше. Это изменение нарушает порядок использования DNS, поэтому даже если это не отвечает на ваш вопрос, это определенно является важным изменением DNS, о котором нужно знать.

Дополнительная информация в блоге Microsoft Enterprise Networking .

2
duffbeer703