it-swarm.cn

Windows 7:“本地主机名称解析是在DNS本身内处理的”。为什么?

在Windows上运行了18年的主机文件后,我很惊讶地在Windows 7 build 7100中看到以下内容:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

有人知道为什么引入了此更改吗?我确定必须要有某种推理。

而且,也许更相关的是,Windows 7中是否有other与DNS相关的重要更改?令我有些害怕的是,我认为本地主机名称解析等根本性的东西已经发生了变化……使我认为Win7中的DNS堆栈还有其他细微但重要的变化。

46
Portman

我与Windows团队的开发人员进行了核对,实际答案比这篇文章的其他答案更加无害:)

在将来的某个时刻,随着世界从IPV4过渡到IPV6,IPV4将最终被希望简化其环境中的网络管理的公司禁用/卸载。

在Windows Vista中,当卸载IPv4并启用IPv6时,对A(IPv4)地址的DNS查询导致IPv4环回(来自主机文件)。当未安装IPv4时,这当然会引起问题。解决方法是将始终存在的IPv4和IPv6回送条目从主机移到DNS解析器中,在其中可以将其独立禁用。

-西恩

30
Sean Earp

Windows 7引入了对 [〜#〜] dnssec [〜#〜] 验证的(可选)支持。这些控件可以在“本地组策略”插件中的“名称解析策略”下找到(c:\windows\system32\gpedit.msc

不幸的是,它不(AFAIK)支持 RFC 5155NSEC3记录,这是许多大型区域操作员(包括.com)将在未来几年内与DNSSEC一起使用。

7
Alnitak

鉴于Windows上越来越多的应用程序正在使用IP与自己进行通信,其中可能包括许多Windows服务,我可能会看到有人将localhost更改为指向其他地方的做法是一种有趣的攻击手段。我的猜测是它被更改为Microsoft [〜#〜] sdl [〜#〜] 的一部分。

5
WaldenL

我可以看到这也是试图增强他们的安全性。通过“固定”本地主机以始终指向环回,它们可以避免DNS中毒攻击,这种攻击开始在野外出现。

我确实同意,但是在某些方面有点令人不安。

3
Avery Payne

我想知道是否可以在DNS本身中重新定义localhost。使用明文文件管理这些设置从未被视为安全最佳实践。在我看来,Microsoft的新安全措施不仅可以防止root用户访问,而且可以更深入地研究细微的漏洞。无论如何,我不确定有多少人能比有动机的黑帽子领先一步。

2

我认为这与Microsoft为目标IP地址选择实施RFC 3484有关。这是一个向后移植到IPv4的IPv6功能,并且会影响Vista/Server 2008及更高版本。此更改中断了轮询DNS,因此即使这不能回答您的问题,也绝对是需要了解的主要DNS更改。

Microsoft Enterprise Networking 博客上有更多信息。

2
duffbeer703