Frage Windows 7: "localhost Namensauflösung wird innerhalb von DNS selbst behandelt". Warum?


Nach 18 Jahren Hosts-Dateien unter Windows war ich überrascht, dass dies in Windows 7 Build 7100 zu sehen ist:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Weiß jemand Warum Diese Änderung wurde eingeführt? Ich bin mir sicher, dass es eine Art Argumentation geben muss.

Und, vielleicht relevanter, gibt es welche andere wichtige DNS-bezogene Änderungen in Windows 7? Es macht mir ein bisschen Angst zu denken, dass etwas so Grundlegendes wie die Namensauflösung von Localhost sich geändert hat ... lässt mich glauben, dass es in Win7 andere subtile, aber wichtige Änderungen am DNS-Stack gibt.


43
2018-05-05 13:51


Ursprung


Zusätzliches Kopfgeld. Die Spekulationen über Sicherheit sind gut (und fast sicher korrekt), aber ich hoffe, dass das Kopfgeld jemanden anzieht, der Win7-DNS-Änderungen im Detail studiert hat. - Portman
Kann mir jemand erklären, wie das mit diesem anderen Thema zusammenhängt? stackoverflow.com/questions/1416128/... und was ist die wahre Lösung? Ich nehme an, ich werde den IPv6-localhost-Eintrag in meiner Host-Datei für jetzt auskommentieren. - Tyndall


Antworten:


Ich habe mit einem Entwickler im Windows-Team nachgesehen, und die tatsächliche Antwort ist viel harmloser als die anderen Antworten auf diesen Beitrag :)

Irgendwann in der Zukunft, wenn die Welt von IPV4 zu IPV6 übergeht, wird IPV4 schließlich von Unternehmen deaktiviert / deinstalliert werden, die das Netzwerkmanagement in ihren Umgebungen vereinfachen wollen.

Mit Windows Vista, als IPv4 deinstalliert und IPv6 aktiviert wurde, führte eine DNS-Abfrage für eine A (IPv4) -Adresse zum IPv4-Loopback (der von der hosts-Datei kam). Dies führte natürlich zu Problemen, wenn IPv4 nicht installiert wurde. Die Lösung bestand darin, die immer vorhandenen IPv4- und IPv6-Loopback-Einträge vom Host in den DNS-Resolver zu verschieben, wo sie unabhängig voneinander deaktiviert werden konnten.

-Sean


28
2018-05-18 21:51



Wenn Sie eine direkte Verbindung zum Windows-Team haben, können Sie Bitte um sicherzustellen, dass NSEC3 unterstützt wird? Die DNSSEC-Validierung ohne NSEC3 wird nutzlos sein! Ich weiß für Tatsache, dass .com NSEC3 verwenden wird, wenn es irgendwann 2011 unterzeichnet wird. - Alnitak
(in der Validierung Stub Resolver, das ist). - Alnitak


Windows 7 bietet (optionale) Unterstützung für DNSSEC Validierung. Die Steuerelemente finden Sie unter "Name Resolution Policy" im Plugin "Lokale Gruppenrichtlinie" (c:\windows\system32\gpedit.msc)

Leider unterstützt es das nicht (AFAIK) RFC 5155  NSEC3 Aufzeichnungen, die viele große Zone Betreiber (einschließlich .com) wird verwendet, wenn sie in den nächsten Jahren mit DNSSEC in Betrieb gehen.


7
2018-05-05 15:00



Ich habe eine Beziehung zur DNSSEC-Implementierung: Nachrichten.softpedia.com/news/.... - aharden


Angesichts der Tatsache, dass mehr und mehr Anwendungen unter Windows IP verwenden, um mit sich selbst zu sprechen, wahrscheinlich einschließlich einer Reihe von Windows-Diensten, könnte jemand sehen, dass localhost anderswo als interessanter Angriffsvektor angezeigt wird. Meine Vermutung ist, dass es als Teil von Microsoft geändert wurde SDL.


5
2018-05-05 14:10





Ich kann sehen, dass dies auch ein Versuch ist, ihre Sicherheit zu stützen. Indem localhost "repariert" wird, um immer auf den Loopback zu zeigen, können DNS-Poisoning-Attacken vermieden werden, die sich in der freien Wildbahn zu zeigen beginnen.

Ich stimme allerdings zu, es ist ein bisschen störend auf einigen Ebenen ...


3
2018-05-05 14:19





Ich wäre neugierig zu wissen, ob man localhost in DNS selbst jedoch neu definieren kann. Die Verwendung von Klartextdateien zum Verwalten dieser Einstellungen könnte niemals als bewährte Sicherheitsmethode betrachtet werden. Mir scheint, dass die neuen Sicherheitsmaßnahmen von Microsoft über die Verhinderung des Root-Zugriffs hinausgehen und tiefer in nuancierte Schwachstellen vordringen. Ich bin mir nicht sicher, wie viel man motivierten schwarzen Hüten immer einen Schritt voraus sein kann.


2
2018-05-05 15:10



localhost ist nur ein weiterer A-Eintrag in Ihrer Zone, es ist nur eine Konvention, die auf 127.0.0.1 verweist. Sie können also localhost auf alles richten, was Sie möchten, und wenn ein Angreifer die Kontrolle über den DNS-Server erlangen kann, kann er diesen Datensatz für das gesamte Netzwerk von W7-Computern anstatt nur für einen mit einer hosts-Datei ändern. Es ist ein berüchtigtes Problem für die DNS-Stammserver, dass Personen keinen Eintrag für localhost A in ihrer Zone enthalten, sodass die Anforderung an den Stamm gesendet wird: bit.ly/ybu1a - Cawflands


Ich denke, dass es etwas damit zu tun hat, dass Microsoft RFC 3484 für die Auswahl der Ziel-IP-Adresse implementiert. Dies ist eine IPv6-Funktion, die auf IPv4 zurückportiert wurde und Vista / Server 2008 und höher betrifft. Diese Änderung bricht Round-Robin-DNS, also, auch wenn dies Ihre Frage nicht beantwortet, ist es definitiv eine wichtige DNS-Änderung zu wissen.

Mehr Infos unter Microsoft Enterprise-Netzwerk Blog.


2
2018-05-18 13:27



+1 für den Link zum Netzwerkblog; Das hatte ich vorher nicht gesehen. - Portman