Windows 7:“ การจำแนกชื่อ localhost ได้รับการจัดการภายในตัว DNS เอง” ทำไม?


44

หลังจาก 18 ปีของไฟล์โฮสต์บน Windows ฉันรู้สึกประหลาดใจที่เห็นสิ่งนี้ใน Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

ไม่มีใครรู้ว่าทำไมการเปลี่ยนแปลงนี้ถูกนำมาใช้? ฉันแน่ใจว่าจะต้องมีเหตุผลบางอย่าง

และอาจมีความเกี่ยวข้องมากกว่านั้นมีการเปลี่ยนแปลงอื่นใดที่เกี่ยวข้องกับ DNS ที่สำคัญใน Windows 7 หรือไม่ มันทำให้ฉันกลัวนิดหน่อยที่จะคิดว่าสิ่งที่เป็นพื้นฐานเช่นเดียวกับการเปลี่ยนชื่อโฮสต์ในพื้นที่มีการเปลี่ยนแปลง ... ทำให้ฉันคิดว่ามีการเปลี่ยนแปลงเล็กน้อยอื่น ๆ แต่มีการเปลี่ยนแปลงที่สำคัญในสแต็ก DNS ใน Win7


เพิ่มเงินรางวัล การเก็งกำไรเกี่ยวกับความปลอดภัยนั้นดี (และเกือบจะถูกต้องแน่นอน) แต่ฉันหวังว่าความโปรดปรานดึงดูดผู้ที่ศึกษาการเปลี่ยนแปลง Win7 DNS อย่างละเอียด
Portman

ใครสามารถอธิบายได้ว่าสิ่งนี้เกี่ยวข้องกับปัญหาอื่น ๆ ของstackoverflow.com/questions/1416128/ อย่างไรและการแก้ไขที่แท้จริงคืออะไร ฉันเดาว่าฉันจะยกเลิกการบันทึกรายการ ipv4 localhost ในไฟล์โฮสต์ของฉันในตอนนี้
Tyndall

คำตอบ:


29

ฉันตรวจสอบกับนักพัฒนาในทีม Windows และคำตอบที่แท้จริงนั้นไม่น่ากลัวกว่าคำตอบอื่น ๆ ของบทความนี้ :)

ในบางจุดในอนาคตเมื่อโลกเปลี่ยนผ่านจาก IPV4 เป็น IPV6 ในที่สุด IPV4 จะถูกปิดใช้งาน / ถอนการติดตั้งโดย บริษัท ที่ต้องการจัดการเครือข่ายในสภาพแวดล้อมที่ง่าย

เมื่อใช้ Windows Vista เมื่อถอนการติดตั้ง IPv4 และเปิดใช้งาน IPv6 แล้วแบบสอบถาม DNS สำหรับที่อยู่ A (IPv4) จะส่งผลให้เกิดการวนรอบ IPv4 (ซึ่งมาจากไฟล์โฮสต์) หลักสูตรนี้ทำให้เกิดปัญหาเมื่อไม่ได้ติดตั้ง IPv4 การแก้ไขคือการย้ายรายการย้อนกลับ IPv4 และ IPv6 ปัจจุบันจากโฮสต์ไปยังโปรแกรมแก้ไข DNS ซึ่งสามารถปิดการใช้งานได้อย่างอิสระ

ฌอน


1
หากคุณมีลิงก์โดยตรงไปยังทีม Windows คุณสามารถขอให้พวกเขาตรวจสอบให้แน่ใจว่ารองรับ NSEC3 ได้หรือไม่ การตรวจสอบความถูกต้อง DNSSEC โดยไม่ใช้ NSEC3 จะไร้ประโยชน์! ฉันรู้สำหรับข้อเท็จจริงที่ว่า .com จะใช้ NSEC3 เมื่อมันลงนามในช่วงปี 2011
Alnitak

(ในตัวแก้ไข stub ที่ตรวจสอบความถูกต้องนั่นคือ)
Alnitak

9 1/2 ปีต่อมาและยังคงใช้ IPv4 :)
คริสเตียน

7

Windows 7 แนะนำการสนับสนุน (ตัวเลือก) สำหรับการตรวจสอบความถูกต้องDNSSEC การควบคุมสามารถพบได้ภายใต้ "นโยบายการแก้ปัญหาชื่อ" ในปลั๊กอิน "นโยบายกลุ่มท้องถิ่น" ( c:\windows\system32\gpedit.msc)

น่าเสียดายที่มันไม่ได้ (AFAIK) รองรับการบันทึกRFC 5155 NSEC3ซึ่งผู้ให้บริการพื้นที่ขนาดใหญ่จำนวนมาก (รวมถึง.com) จะใช้เมื่อพวกเขาใช้งานกับ DNSSEC ในอีกไม่กี่ปีข้างหน้า


ผมเป็นครั้งที่สองที่เกี่ยวข้องกับการดำเนินงาน DNSSEC: news.softpedia.com/news/...
aharden

5

เนื่องจากมีแอพพลิเคชั่นมากขึ้นเรื่อย ๆ บน Windows ที่ใช้ IP เพื่อพูดคุยกับตัวเองน่าจะรวมถึงบริการ Windows หลายอย่างฉันเห็นคนที่เปลี่ยน localhost ให้ชี้ที่อื่นว่าเป็นเวกเตอร์การโจมตีที่น่าสนใจ ฉันเดามันก็เปลี่ยนไปเป็นส่วนหนึ่งของไมโครซอฟท์SDL


3

ฉันเห็นได้ว่านี่เป็นความพยายามที่จะเสริมความปลอดภัยของพวกเขา โดยการ "แก้ไข" localhost ให้ชี้ไปที่ลูปแบ็คเสมอพวกเขาสามารถหลีกเลี่ยงการโจมตี DNS ที่เป็นพิษซึ่งกำลังเริ่มปรากฏขึ้นในป่า

ฉันเห็นด้วยแม้ว่ามันจะค่อนข้างรบกวนในบางระดับ ...


2

ฉันอยากรู้ว่าจะกำหนด localhost ใน DNS เองได้ไหม การใช้ไฟล์ข้อความที่ชัดเจนเพื่อจัดการการตั้งค่าเหล่านี้อาจไม่เคยถูกพิจารณาว่าเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด สำหรับฉันแล้วดูเหมือนว่ามาตรการรักษาความปลอดภัยใหม่ของ Microsoft นั้นนอกเหนือไปจากการป้องกันการเข้าถึงรูทและเจาะลึกเข้าไปในช่องโหว่ที่เหมาะสมยิ่งขึ้น ฉันไม่แน่ใจว่าจะมีใครสามารถก้าวไปข้างหน้าหมวกดำที่มีแรงบันดาลใจได้


1
localhost เป็นเพียงอีกระเบียนหนึ่งในโซนของคุณเป็นเพียงการประชุมที่ชี้ไปที่ 127.0.0.1 ใช่แล้วคุณสามารถชี้ localhost ไปที่สิ่งที่คุณต้องการและถ้าผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ DNS ได้พวกเขาสามารถเปลี่ยนบันทึกนี้สำหรับเครือข่ายทั้งหมดของคอมพิวเตอร์ W7 แทนที่จะเป็นเพียงไฟล์โฮสต์ มันเป็นปัญหาที่ฉาวโฉ่สำหรับเซิร์ฟเวอร์ DNS รูทที่ผู้คนไม่ได้รวม localhost A เร็กคอร์ดในโซนของพวกเขาดังนั้นคำขอจะถูกส่งไปยังรูท: bit.ly/ybu1a
Cawflands

2

ฉันคิดว่ามีบางอย่างเกี่ยวกับการใช้ Microsoft RFC 3484 สำหรับการเลือกที่อยู่ IP ปลายทาง นี่คือคุณสมบัติ IPv6 ที่พอร์ตกลับสู่ IPv4 และมีผลกับ Vista / Server 2008 ขึ้นไป การเปลี่ยนแปลงนี้ทำให้ DNS ของ robin กลมดังนั้นแม้ว่าสิ่งนี้จะไม่ตอบคำถามของคุณ แต่มันก็เป็น DNS ที่สำคัญที่ต้องทราบ

ข้อมูลเพิ่มเติมที่บล็อกMicrosoft Enterprise Networking


+1 สำหรับลิงก์บล็อกเครือข่าย ฉันไม่เคยเห็นแบบนั้นมาก่อน
Portman
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.