Windows 7: "resolusi nama localhost ditangani dalam DNS itu sendiri". Mengapa?

44

Setelah 18 tahun file host di Windows, saya terkejut melihat ini di Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Adakah yang tahu mengapa perubahan ini diperkenalkan? Saya yakin harus ada semacam alasan.

Dan, mungkin lebih relevan, apakah ada perubahan penting terkait DNS lainnya di Windows 7? Saya sedikit takut ketika berpikir bahwa sesuatu yang mendasar seperti resolusi nama localhost telah berubah ... membuat saya berpikir ada perubahan lain yang halus tetapi penting pada tumpukan DNS di Win7.

domain-name-system windows-7 Portman
sumber
Menambahkan karunia. Spekulasi tentang keamanan itu baik (dan hampir pasti benar), tapi saya berharap karunia menarik seseorang yang telah mempelajari perubahan Win7 secara detail.
Portman
Adakah yang bisa menjelaskan bagaimana ini terkait dengan masalah lain ini stackoverflow.com/questions/1416128/… dan apa perbaikan yang sebenarnya? Saya kira saya akan membatalkan komentar entri localhost ipv4 di file host saya untuk saat ini.
Tyndall

Jawaban:

29

Saya memeriksa dengan pengembang di tim Windows, dan jawaban sebenarnya jauh lebih tidak berbahaya daripada jawaban lain untuk posting ini :)

Di beberapa titik di masa depan, saat dunia beralih dari IPV4 ke IPV6, IPV4 pada akhirnya akan dinonaktifkan / dihapus instalannya oleh perusahaan yang ingin menyederhanakan manajemen jaringan di lingkungan mereka.

Dengan Windows Vista, ketika IPv4 dihapus dan IPv6 diaktifkan, permintaan DNS untuk alamat A (IPv4) menghasilkan loopback IPv4 (yang berasal dari file host). Ini tentu saja menimbulkan masalah ketika IPv4 tidak diinstal. Cara mengatasinya adalah memindahkan entri loopback IPv4 dan IPv6 yang selalu ada dari host ke resolver DNS, di mana entri tersebut dapat dinonaktifkan secara independen.

-Sean

Sean Earp
sumber
1
jika Anda punya link langsung ke tim Windows, dapat Anda silahkan mendapatkan mereka untuk memastikan NSEC3 didukung? Validasi DNSSEC tanpa NSEC3 tidak akan berguna! Saya tahu pasti bahwa .com akan menggunakan NSEC3 ketika itu ditandatangani sekitar tahun 2011.
Alnitak
(dalam resolver rintisan validasi, yaitu).
Alnitak
9 1/2 tahun kemudian dan masih menggunakan IPv4 :)
Christian
7

Windows 7 memperkenalkan (opsional) dukungan untuk validasi DNSSEC . Kontrol dapat ditemukan di bawah "Kebijakan Resolusi Nama" di plugin "Kebijakan Grup Lokal" ( c:\windows\system32\gpedit.msc)

Sayangnya, itu tidak (AFAIK) mendukung catatan RFC 5155 NSEC3 , yang akan digunakan banyak operator zona besar (termasuk .com) ketika mereka ditayangkan dengan DNSSEC selama beberapa tahun ke depan.

Alnitak
sumber
Saya yang kedua terkait dengan implementasi DNSSEC: news.softpedia.com/news/… .
aharden
5

Mengingat bahwa semakin banyak aplikasi di Windows yang menggunakan IP untuk berbicara kembali kepada diri mereka sendiri, kemungkinan termasuk sejumlah layanan Windows, saya bisa melihat seseorang mengubah localhost untuk menunjuk ke tempat lain sebagai vektor serangan yang menarik. Dugaan saya adalah ini diubah sebagai bagian dari SDL Microsoft .

WaldenL
sumber
3

Saya bisa melihat ini juga sebagai upaya untuk meningkatkan keamanan mereka. Dengan "memperbaiki" localhost untuk selalu menunjuk ke loopback, mereka dapat menghindari serangan keracunan DNS, yang mulai muncul di alam liar.

Saya setuju, itu agak mengganggu pada beberapa level ...

Avery Payne
sumber
2

Saya akan ingin tahu jika seseorang dapat mendefinisikan kembali localhost di DNS itu sendiri. Penggunaan file teks yang jelas untuk mengelola pengaturan ini mungkin tidak pernah dianggap sebagai praktik terbaik keamanan. Tampaknya bagi saya bahwa langkah-langkah keamanan baru Microsoft melampaui mencegah akses root dan menggali lebih dalam ke dalam kerentanan yang bernuansa. Saya tidak yakin berapa banyak orang bisa tetap selangkah lebih maju dari topi hitam termotivasi, terlepas dari.

EnocNRoll - Ananda Gopal
sumber
1
localhost hanyalah rekor A lainnya di zona Anda, hanya konvensi yang mengarahkannya ke 127.0.0.1. Jadi ya, Anda dapat mengarahkan localhost ke apa pun yang Anda suka, dan jika seorang penyerang dapat mengontrol server DNS, mereka dapat mengubah catatan ini untuk seluruh jaringan komputer W7 daripada hanya satu dengan file host. Ini adalah masalah yang terkenal untuk server root DNS bahwa orang-orang tidak menyertakan catatan localhost A di zona mereka, sehingga permintaan dikirim ke root: bit.ly/ybu1a
Cawflands
2

Saya pikir itu ada hubungannya dengan Microsoft menerapkan RFC 3484 untuk pemilihan alamat IP tujuan. Ini adalah fitur IPv6 yang di-porting ke IPv4 dan memengaruhi Vista / Server 2008 dan di atasnya. Perubahan ini memecah DNS round robin, jadi meskipun ini tidak menjawab pertanyaan Anda, itu pasti perubahan DNS utama yang perlu diketahui.

Info lebih lanjut di blog Microsoft Enterprise Networking .

duffbeer703
sumber
+1 untuk tautan blog jaringan; Saya belum pernah melihat itu sebelumnya.
Portman