Vraag Windows 7: "localhost name resolution wordt afgehandeld binnen DNS zelf". Waarom?


Na 18 jaar hosts-bestanden op Windows, was ik verrast om dit te zien in Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Weet iemand waarom deze verandering is ingevoerd? Ik weet zeker dat er een redenering moet zijn.

En misschien nog relevanter zijn die er zijn anders belangrijke DNS-gerelateerde wijzigingen in Windows 7? Het maakt me een beetje bang om te denken dat iets zo fundamenteel als de resolutie van de lokale hostnaam is veranderd ... doet me denken aan andere subtiele maar belangrijke wijzigingen in de DNS-stack in Win7.


43
2018-05-05 13:51


oorsprong


Bounty toegevoegd. De speculatie over beveiliging is goed (en bijna zeker correct), maar ik hoop dat de bounty iemand aantrekt die in detail DNS-DNS-wijzigingen heeft bestudeerd. - Portman
Kan iemand uitleggen hoe dit verband houdt met dit andere probleem? stackoverflow.com/questions/1416128/... en wat is de echte oplossing? Ik denk dat ik de ipv4 localhost-vermelding in mijn hostbestand voorlopig zal weglaten. - Tyndall


antwoorden:


Ik heb met een ontwikkelaar in het Windows-team gecontroleerd en het eigenlijke antwoord is veel onschadelijker dan de andere antwoorden op dit bericht :)

Op een bepaald moment in de toekomst, als de wereld overgaat van IPV4 naar IPV6, zal IPV4 uiteindelijk worden uitgeschakeld / gedeactiveerd door bedrijven die netwerkbeheer in hun omgeving willen vereenvoudigen.

In Windows Vista, toen IPv4 werd verwijderd en IPv6 was ingeschakeld, resulteerde een DNS-query voor een A (IPv4) -adres in de IPv4-loopback (die afkomstig was van het hosts-bestand). Dit veroorzaakte natuurlijk problemen wanneer IPv4 niet was geïnstalleerd. De oplossing was om de altijd aanwezige IPv4- en IPv6-loopback-items van de host naar de DNS-resolver te verplaatsen, waar ze onafhankelijk konden worden uitgeschakeld.

-Sean


28
2018-05-18 21:51



als je een directe link naar het Windows-team hebt, kan je dat alsjeblieft zorg dat ze ervoor zorgen dat NSEC3 wordt ondersteund? DNSSEC-validatie zonder NSEC3 zal nutteloos zijn! Ik weet voor een feit dat .com NSEC3 zal gebruiken wanneer het ergens in 2011 wordt ondertekend. - Alnitak
(in de validerende stub resolver, dat is). - Alnitak


Windows 7 introduceert (optioneel) ondersteuning voor DNSSEC validatie. De besturingselementen vindt u onder 'Beleid voor naamomzetting' in de plug-in 'Lokaal groepsbeleid' (c:\windows\system32\gpedit.msc)

Helaas ondersteunt het niet (AFAIK) RFC 5155  NSEC3 records, die veel exploitanten van grote zones (inclusief .com) wordt gebruikt wanneer ze de komende jaren live gaan met DNSSEC.


7
2018-05-05 15:00



Ik heb een relatie met de DNSSEC-implementatie onderbroken: news.softpedia.com/news/.... - aharden


Gezien het feit dat steeds meer applicaties op Windows IP gebruiken om tegen zichzelf te praten, waarschijnlijk met inbegrip van een aantal Windows-services, zou ik iemand kunnen zien die van localhost verandert om ergens anders naar toe te verwijzen als een interessante aanvalsvector. Ik vermoed dat het is veranderd als onderdeel van Microsoft SDL.


5
2018-05-05 14:10





Ik kan zien dat dit ook een poging is om hun veiligheid te versterken. Door localhost te "fixen" om altijd naar de loopback te wijzen, kunnen ze DNS-vergiftigingsaanvallen vermijden, die in het wild beginnen op te duiken.

Ik ben het er wel mee eens, het is op sommige niveaus een beetje verontrustend ...


3
2018-05-05 14:19





Ik zou benieuwd zijn om localhost in DNS zelf te kunnen herdefiniëren. Het gebruik van duidelijke tekstbestanden om deze instellingen te beheren, kon nooit als een best practice voor beveiliging worden beschouwd. Het lijkt mij dat de nieuwe beveiligingsmaatregelen van Microsoft verder gaan dan het voorkomen van root-toegang en dieper graven in genuanceerde kwetsbaarheden. Ik weet niet zeker hoeveel je gemotiveerde zwarte hoeden een stap voor kunt blijven, hoe dan ook.


2
2018-05-05 15:10



localhost is gewoon een A-record in uw zone, het is alleen een conventie die naar 127.0.0.1 verwijst. Dus ja, je kunt localhost wijzen op alles wat je wilt, en als een aanvaller de controle over de DNS-server kan krijgen, kunnen ze deze record wijzigen voor het hele netwerk van W7-computers in plaats van slechts één met een hosts-bestand. Het is een berucht probleem voor de DNS-basisservers dat mensen geen localhost A-record opnemen in hun zone, dus het verzoek wordt naar de root verzonden: bit.ly/ybu1a - Cawflands


Ik denk dat het iets te maken heeft met Microsoft die RFC 3484 implementeert voor de selectie van bestemmings-IP-adressen. Dit is een IPv6-functie die is teruggestuurd naar IPv4 en die van invloed is op Vista / Server 2008 en hoger. Deze wijziging breekt rond Robin DNS, dus zelfs als dit uw vraag niet beantwoordt, is dit zonder twijfel een grote DNS-verandering om over te weten.

Meer info op de Microsoft Enterprise Networking blog.


2
2018-05-18 13:27



+1 voor de netwerkbloglink; Ik had dat niet eerder gezien. - Portman