pengembangan-web-mp-pd.com

Windows 7: "resolusi nama localhost ditangani dalam DNS itu sendiri". Mengapa?

Setelah 18 tahun file host di Windows, saya terkejut melihat ini di Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Adakah yang tahu mengapa perubahan ini diperkenalkan? Saya yakin harus ada semacam alasan.

Dan, mungkin lebih relevan, apakah ada lainnya perubahan penting terkait DNS di Windows 7? Saya sedikit takut ketika berpikir bahwa sesuatu yang mendasar seperti resolusi nama localhost telah berubah ... membuat saya berpikir ada perubahan lain yang halus tetapi penting pada tumpukan DNS di Win7.

46
Portman

Saya memeriksa dengan pengembang di tim Windows, dan jawaban sebenarnya jauh lebih tidak berbahaya daripada jawaban lain untuk posting ini :)

Di beberapa titik di masa depan, saat dunia beralih dari IPV4 ke IPV6, IPV4 pada akhirnya akan dinonaktifkan/dihapus instalannya oleh perusahaan yang ingin menyederhanakan manajemen jaringan di lingkungan mereka.

Dengan Windows Vista, ketika IPv4 dihapus dan IPv6 diaktifkan, permintaan DNS untuk alamat A (IPv4) menghasilkan loopback IPv4 (yang berasal dari file host). Ini tentu saja menimbulkan masalah ketika IPv4 tidak diinstal. Cara mengatasinya adalah memindahkan entri loopback IPv4 dan IPv6 yang selalu ada dari Host ke resolver DNS, di mana entri tersebut dapat dinonaktifkan secara independen.

-Sean

30
Sean Earp

Windows 7 memperkenalkan (opsional) dukungan untuk DNSSEC validasi. Kontrol dapat ditemukan di bawah "Kebijakan Resolusi Nama" di plugin "Kebijakan Grup Lokal" (c:\windows\system32\gpedit.msc)

Sayangnya, itu tidak (AFAIK) mendukung RFC 5155NSEC3 catatan, yang banyak operator zona besar (termasuk .com) akan digunakan ketika mereka ditayangkan dengan DNSSEC selama beberapa tahun ke depan.

7
Alnitak

Mengingat bahwa semakin banyak aplikasi di Windows yang menggunakan IP untuk berbicara kepada diri mereka sendiri, kemungkinan termasuk sejumlah layanan Windows, saya bisa melihat seseorang mengubah localhost untuk menunjuk ke tempat lain sebagai vektor serangan yang menarik. Dugaan saya adalah ini diubah sebagai bagian dari Microsoft SDL .

5
WaldenL

Saya bisa melihat ini juga sebagai upaya untuk meningkatkan keamanan mereka. Dengan "memperbaiki" localhost untuk selalu menunjuk ke loopback, mereka dapat menghindari serangan keracunan DNS, yang mulai muncul di alam liar.

Saya setuju, itu agak mengganggu pada beberapa level ...

3
Avery Payne

Saya akan ingin tahu jika seseorang dapat mendefinisikan kembali localhost di DNS itu sendiri. Penggunaan file teks yang jelas untuk mengelola pengaturan ini mungkin tidak pernah dianggap sebagai praktik terbaik keamanan. Tampaknya bagi saya bahwa langkah-langkah keamanan baru Microsoft melampaui mencegah akses root dan menggali lebih dalam ke dalam kerentanan yang bernuansa. Saya tidak yakin berapa banyak orang bisa tetap selangkah lebih maju dari topi hitam termotivasi, terlepas dari.

Saya pikir itu ada hubungannya dengan Microsoft menerapkan RFC 3484 untuk pemilihan alamat IP tujuan. Ini adalah fitur IPv6 yang di-porting ke IPv4 dan memengaruhi Vista/Server 2008 dan di atasnya. Perubahan ini memecah DNS round robin, jadi meskipun ini tidak menjawab pertanyaan Anda, itu pasti perubahan DNS utama yang perlu diketahui.

Info lebih lanjut di blog Microsoft Enterprise Networking .

2
duffbeer703