Windows 7: Độ phân giải tên localhost được xử lý trong chính DNS. Tại sao?

Sau 18 năm lưu trữ tệp trên Windows, tôi đã rất ngạc nhiên khi thấy điều này trong Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Có ai biết tại sao thay đổi này được giới thiệu? Tôi chắc chắn phải có một số lý do.

Và, có lẽ relevantly hơn, có bị can nào khác thay đổi DNS liên quan đến quan trọng trong Windows 7? Tôi hơi sợ khi nghĩ rằng một cái gì đó cơ bản như độ phân giải tên localhost đã thay đổi ... khiến tôi nghĩ rằng có những thay đổi tinh tế nhưng quan trọng khác đối với ngăn xếp DNS trong Win7.

Tôi đã kiểm tra với một nhà phát triển trong nhóm Windows và câu trả lời thực tế là vô hại hơn nhiều so với các câu trả lời khác cho bài đăng này :)

Tại một thời điểm nào đó trong tương lai, khi thế giới chuyển từ IPV4 sang IPV6, IPV4 cuối cùng sẽ bị vô hiệu hóa / gỡ cài đặt bởi các công ty muốn quản lý mạng đơn giản trong môi trường của họ.

Với Windows Vista, khi IPv4 được gỡ cài đặt và IPv6 được bật, truy vấn DNS cho địa chỉ A (IPv4) dẫn đến vòng lặp IPv4 (xuất phát từ tệp máy chủ). Điều này tất nhiên gây ra vấn đề khi IPv4 không được cài đặt. Cách khắc phục là di chuyển các mục nhập vòng lặp IPv4 và IPv6 luôn hiện diện từ máy chủ vào trình phân giải DNS, nơi chúng có thể bị vô hiệu hóa độc lập.

-Sean

Windows 7 giới thiệu (tùy chọn) hỗ trợ xác thực DNSSEC . Các điều khiển có thể được tìm thấy trong "Chính sách phân giải tên" trong plugin "Chính sách nhóm cục bộ" ( c:\windows\system32\gpedit.msc)

Thật không may, nó không (AFAIK) hỗ trợ các bản ghi RFC 5155 NSEC3 , mà nhiều nhà khai thác khu vực lớn (bao gồm .com) sẽ sử dụng khi họ phát hành trực tiếp với DNSSEC trong vài năm tới.

Cho rằng ngày càng có nhiều ứng dụng trên Windows đang sử dụng IP để nói chuyện lại với chính họ, có thể bao gồm một số dịch vụ Windows, tôi có thể thấy ai đó thay đổi localhost để chỉ ra một nơi khác là một vectơ tấn công thú vị. Tôi đoán là nó đã được thay đổi như một phần của SDL của Microsoft .

Tôi có thể thấy đây cũng là một nỗ lực nhằm củng cố an ninh của họ. Bằng cách "sửa" localhost để luôn trỏ đến loopback, họ có thể tránh được các cuộc tấn công ngộ độc DNS đang bắt đầu xuất hiện trong tự nhiên.

Mặc dù vậy, tôi đồng ý, nó hơi đáng lo ngại ở một số cấp độ ...

Tôi sẽ tò mò muốn biết liệu người ta có thể định nghĩa lại localhost trong chính DNS hay không. Việc sử dụng các tệp văn bản rõ ràng để quản lý các cài đặt này có thể chưa bao giờ được coi là một cách thực hành tốt nhất về bảo mật. Dường như với tôi rằng các biện pháp bảo mật mới của Microsoft vượt ra ngoài việc ngăn chặn quyền truy cập root và đào sâu hơn vào các lỗ hổng sắc thái. Tôi không chắc chắn bao nhiêu người có thể đi trước một bước của mũ đen có động lực, bất kể.

Tôi nghĩ rằng nó có liên quan đến việc Microsoft triển khai RFC 3484 để chọn địa chỉ IP đích. Đây là một tính năng IPv6 được chuyển ngược sang IPv4 và ảnh hưởng đến Vista / Server 2008 trở lên. Thay đổi này phá vỡ vòng tròn DNS, vì vậy ngay cả khi điều này không trả lời câu hỏi của bạn, chắc chắn đây là một thay đổi lớn về DNS.

Thông tin thêm tại blog Mạng doanh nghiệp Microsoft .