Windows 7: "Разрешение имени локального хоста обрабатывается в самом DNS". Зачем?
После 18 лет работы с хост-файлами в Windows я с удивлением увидел это в Windows 7 build 7100:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
Кто-нибудь знает, почему это изменение было введено? Я уверен, что должна быть какая-то аргументация.
И, возможно, более уместно, есть ли другие важные изменения, связанные с DNS, в Windows 7? Меня немного пугает мысль о том, что что-то столь же фундаментальное, как разрешение имен локальных хостов, изменилось... заставляет меня думать, что есть и другие тонкие, но важные изменения в стеке DNS в Win7.
6 ответов
Я проверил с разработчиком в команде Windows, и фактический ответ гораздо более безобиден, чем другие ответы на этот пост:)
В какой-то момент в будущем, когда мир перейдет от IPV4 к IPV6, IPV4 в конечном итоге будет отключен / удален компаниями, которые хотят упростить управление сетью в своих средах.
В Windows Vista, когда IPv4 был удален, а IPv6 был включен, запрос DNS для адреса A (IPv4) привел к возникновению обратной петли IPv4 (которая поступила из файла hosts). Это, конечно, вызывало проблемы, когда IPv4 не был установлен. Исправление состояло в том, чтобы перенести всегда присутствующие петлевые записи IPv4 и IPv6 с хоста в распознаватель DNS, где они могли быть независимо отключены.
-Sean
Windows 7 вводит (необязательно) поддержку проверки DNSSEC. Элементы управления можно найти в разделе "Политика разрешения имен" в плагине "Локальная групповая политика" (c:\windows\system32\gpedit.msc)
К сожалению, он не поддерживает (AFAIK) RFC 5155 NSEC3 записи, которые многие крупные операторы зоны (в том числе .com) будет использоваться, когда они начнут работать с DNSSEC в течение следующих нескольких лет.
Учитывая, что все больше и больше приложений в Windows используют IP для связи с самим собой, вероятно, включая несколько служб Windows, я мог видеть, что кто-то изменяет localhost, чтобы указать куда-то еще, как на интересный вектор атаки. Я думаю, что это было изменено как часть Microsoft SDL.
Я также вижу, что это попытка укрепить их безопасность. Путем "исправления" локального узла, чтобы он всегда указывал на обратную петлю, они могут избежать атак отравления DNS, которые начинают появляться в дикой природе.
Я согласен, хотя, это немного беспокоит на некоторых уровнях...
Мне было бы интересно узнать, можно ли переопределить localhost в самой DNS, хотя. Использование открытых текстовых файлов для управления этими настройками никогда не считалось лучшей практикой безопасности. Мне кажется, что новые меры безопасности Microsoft выходят за рамки предотвращения корневого доступа и углубляются в нюансы уязвимостей. Я не уверен, насколько можно оставаться на шаг впереди мотивированных черных шляп, несмотря ни на что.
Я думаю, что это как-то связано с тем, что Microsoft реализует RFC 3484 для выбора IP-адреса назначения. Это функция IPv6, перенесенная обратно на IPv4, и влияет на Vista/Server 2008 и выше. Это изменение нарушает порядок использования DNS, поэтому даже если это не отвечает на ваш вопрос, это определенно является важным изменением DNS, о котором нужно знать.
Больше информации в блоге Microsoft Enterprise Networking.