sviluppo-web-qa.it

Windows 7: "la risoluzione dei nomi di localhost è gestita all'interno del DNS stesso". Perché?

Dopo 18 anni di file hosts su Windows, sono stato sorpreso di vederlo nella build 7100 di Windows 7:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Qualcuno sa perché questa modifica è stata introdotta? Sono sicuro che ci deve essere un ragionamento gentile.

E, forse più rilevante, ci sono altri importanti cambiamenti relativi al DNS in Windows 7? Mi spaventa un po 'pensare che qualcosa di fondamentale come la risoluzione dei nomi di localhost sia cambiato ... mi fa pensare che ci siano altre sottili ma importanti modifiche allo stack DNS in Win7.

46
Portman

Ho verificato con uno sviluppatore del team di Windows e la risposta effettiva è molto più innocua rispetto alle altre risposte a questo post :)

Ad un certo punto in futuro, mentre il mondo passa da IPV4 a IPV6, l'IPV4 verrà infine disabilitato/disinstallato dalle aziende che vogliono semplificare la gestione della rete nei loro ambienti.

Con Windows Vista, quando IPv4 è stato disinstallato ed è stato abilitato IPv6, una query DNS per un indirizzo A (IPv4) ha provocato il loopback IPv4 (che proveniva dal file hosts). Ciò ovviamente ha causato problemi quando IPv4 non è stato installato. La correzione consisteva nel spostare le voci di loopback IPv4 e IPv6 sempre presenti dall'host nel resolver DNS, dove potevano essere disabilitate indipendentemente.

-Sean

30
Sean Earp

Windows 7 introduce il supporto (facoltativo) per DNSSEC validazione. I controlli sono disponibili in "Criteri di risoluzione dei nomi" nel plug-in "Criteri di gruppo locali" (c:\windows\system32\gpedit.msc)

Sfortunatamente, non supporta (AFAIK) RFC 5155NSEC3 registra, che molti operatori di grandi zone (tra cui .com) utilizzeranno quando andranno in diretta con DNSSEC nei prossimi due anni.

7
Alnitak

Dato che sempre più applicazioni su Windows utilizzano l'IP per rispondere a se stesse, probabilmente includendo un certo numero di servizi Windows, potrei vedere qualcuno che cambia localhost per indicare da qualche altra parte un interessante vettore di attacco. Suppongo che sia stato modificato come parte di Microsoft SDL .

5
WaldenL

Vedo che questo è anche un tentativo di rafforzare la loro sicurezza. "Riparando" localhost in modo che punti sempre al loopback, possono evitare attacchi di avvelenamento da DNS, che stanno iniziando a comparire in natura.

Sono d'accordo però, è un po 'inquietante su alcuni livelli ...

3
Avery Payne

Sarei curioso di sapere se si può ridefinire localhost nel DNS stesso. L'uso di file di testo chiari per gestire queste impostazioni non avrebbe mai potuto essere considerato una delle migliori pratiche di sicurezza. Mi sembra che le nuove misure di sicurezza di Microsoft vadano oltre la prevenzione dell'accesso root e approfondiscano le vulnerabilità sfumate. Non sono sicuro di quanto si possa stare un passo avanti rispetto ai cappelli neri motivati, a prescindere.

Penso che abbia qualcosa a che fare con l'implementazione di RFC 3484 di Microsoft per la selezione dell'indirizzo IP di destinazione. Questa è una funzionalità IPv6 con back-port su IPv4 e riguarda Vista/Server 2008 e versioni successive. Questa modifica interrompe il DNS robin, quindi anche se questo non risponde alla tua domanda, è sicuramente una grande modifica DNS da conoscere.

Maggiori informazioni sul blog Microsoft Enterprise Networking .

2
duffbeer703