विंडोज 7: "लोकलहोस्ट नाम रिज़ॉल्यूशन DNS के भीतर ही संभाला जाता है"। क्यों?


44

विंडोज पर 18 साल की मेजबानों की फाइलों के बाद, मुझे विंडोज 7 बिल्ड 7100 में यह देखकर आश्चर्य हुआ:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

क्या किसी को पता है कि यह परिवर्तन क्यों पेश किया गया था? मुझे यकीन है कि कुछ तर्क करना होगा।

और, शायद अधिक प्रासंगिक रूप से, क्या विंडोज 7 में डीएनएस से संबंधित कोई अन्य महत्वपूर्ण बदलाव हैं? यह मुझे थोड़ा सोचने से डराता है कि स्थानीयहोस्ट नाम रिज़ॉल्यूशन के रूप में कुछ मौलिक बदल गया है ... मुझे लगता है कि Win7 में DNS स्टैक के अन्य सूक्ष्म लेकिन महत्वपूर्ण बदलाव हैं।


जोड़ा गया इनाम। सुरक्षा के बारे में अटकलें अच्छी हैं (और लगभग निश्चित रूप से सही हैं), लेकिन मैं उम्मीद कर रहा हूं कि इनाम किसी ऐसे व्यक्ति को आकर्षित करेगा जिसने Win7 DNS परिवर्तनों का विस्तार से अध्ययन किया है।
पोर्टमैन

क्या कोई समझा सकता है कि यह इस अन्य मुद्दे से कैसे जुड़ा है stackoverflow.com/questions/1416128/… और क्या है सच्चा फिक्स? मुझे लगता है कि मैं अभी के लिए अपनी होस्ट फ़ाइल में ipv4 लोकलहोस्ट प्रविष्टि को असहज करने जा रहा हूं।
Tyndall

जवाबों:


29

मैंने विंडोज टीम पर एक डेवलपर के साथ जांच की, और वास्तविक उत्तर इस पोस्ट के अन्य उत्तरों की तुलना में बहुत अधिक सहज है :)

भविष्य में कुछ बिंदु पर, जैसा कि IPV4 से IPV6 के लिए दुनिया में संक्रमण होता है, IPV4 अंततः उन कंपनियों द्वारा अक्षम / अक्षम हो जाएगा जो अपने वातावरण में नेटवर्क प्रबंधन को सरल बनाना चाहते हैं।

Windows Vista के साथ, जब IPv4 की स्थापना रद्द कर दी गई और IPv6 सक्षम हो गया, तो A (IPv4) पते के लिए DNS क्वेरी का परिणाम IPv4 लूपबैक (जो कि होस्ट फ़ाइल से आया) था। जब IPv4 स्थापित नहीं किया गया था तो निश्चित रूप से यह समस्याएँ थीं। यह था कि होस्ट से हमेशा मौजूद IPv4 और IPv6 लूपबैक प्रविष्टियों को DNS रिज़ॉल्वर में स्थानांतरित करना है, जहाँ वे स्वतंत्र रूप से अक्षम हो सकते हैं।

-Sean


1
यदि आप Windows टीम के लिए एक सीधा लिंक मिल गया है, तो आप कर सकते हैं कृपया उन्हें यकीन है कि NSEC3 समर्थित है बनाने के लिए मिल सकता है? NSEC3 के बिना DNSSEC मान्यता बेकार होने वाली है! मैं एक तथ्य के लिए जानता हूं कि .com NSEC3 का उपयोग करेगा जब यह 2011 में किसी समय हस्ताक्षरित होगा।
Alnitak

(मान्य स्टब रिसोल्वर में, जो है)।
अलनीतक

९ १/२ साल बाद और अभी भी IPv4 :) का उपयोग कर रहे हैं
ईसाई २

7

विंडोज 7 DNSSEC सत्यापन के लिए (वैकल्पिक) समर्थन का परिचय देता है । नियंत्रण "स्थानीय समूह नीति" प्लगइन में "नाम समाधान नीति" के तहत पाया जा सकता है ( c:\windows\system32\gpedit.msc)

दुर्भाग्य से, यह (AFAIK) RFC 5155 NSEC3 रिकॉर्ड का समर्थन नहीं करता है , जो कि कई बड़े ज़ोन ऑपरेटर (सहित .com) अगले कुछ वर्षों में DNSSEC के साथ लाइव होने पर उपयोग करेंगे।


मैं DNSSEC कार्यान्वयन से संबंधित है: news.softpedia.com/news/…
aharden

5

यह देखते हुए कि विंडोज पर अधिक से अधिक एप्लिकेशन अपने आप को वापस बात करने के लिए आईपी का उपयोग कर रहे हैं, संभव है कि विंडोज सेवा की एक संख्या सहित मैं किसी और को लोकलहोस्ट को बदलकर किसी और को एक दिलचस्प हमले के वेक्टर के रूप में इंगित करने के लिए देख सकता हूं। मेरा अनुमान है कि इसे Microsoft के SDL के हिस्से के रूप में बदल दिया गया था ।


3

मैं यह भी देख सकता हूं कि यह उनकी सुरक्षा को बढ़ाने का प्रयास है। लोकलहोस्ट को "फिक्सिंग" करने के लिए हमेशा लूपबैक की ओर इशारा करते हैं, वे डीएनएस विषाक्तता के हमलों से बच सकते हैं, जो जंगली में दिखाई देने लगे हैं।

मैं सहमत हूँ हालांकि, यह कुछ स्तरों पर थोड़ा परेशान है ...


2

मुझे यह जानने की उत्सुकता होगी कि क्या कोई DNS में लोकलहोस्ट को फिर से परिभाषित कर सकता है। इन सेटिंग्स को प्रबंधित करने के लिए स्पष्ट पाठ फ़ाइलों का उपयोग कभी भी सुरक्षा सर्वोत्तम अभ्यास नहीं माना जा सकता था। मुझे ऐसा लगता है कि Microsoft के नए सुरक्षा उपाय रूट एक्सेस को रोकने से परे हैं और अति-संवेदनशील कमजोरियों में अधिक गहराई तक पहुंचते हैं। मुझे यकीन नहीं है कि कोई भी प्रेरित काली टोपी से एक कदम आगे रह सकता है, भले ही वह कुछ भी हो।


1
लोकलहोस्ट आपके ज़ोन में एक और ए रिकॉर्ड है, यह केवल कन्वेंशन है जो इसे 127.0.0.1 पर इंगित करता है। तो हाँ, आप अपनी पसंद की किसी भी चीज़ के लिए लोकलहोस्ट को इंगित कर सकते हैं, और अगर कोई हमलावर DNS सर्वर का नियंत्रण प्राप्त कर सकता है, तो वे इस रिकॉर्ड को W7 कंप्यूटरों के पूरे नेटवर्क के लिए बदल सकते हैं, केवल एक होस्ट फ़ाइल के साथ। : यह है कि लोगों को अपनी क्षेत्र में एक स्थानीय होस्ट एक रिकॉर्ड शामिल नहीं हैं तो अनुरोध जड़ लिए भेजा जाता है DNS रूट सर्वर के लिए एक कुख्यात समस्या है bit.ly/ybu1a
Cawflands

2

मुझे लगता है कि गंतव्य IP पते के चयन के लिए RFC 3484 को लागू करने में Microsoft के साथ कुछ करना है। यह एक IPv6 फीचर है जो IPv4 में वापस पोर्ट किया गया है और विस्टा / सर्वर 2008 और इसके बाद के संस्करण को प्रभावित करता है। यह परिवर्तन राउंड रॉबिन डीएनएस को तोड़ता है, इसलिए भले ही यह आपके सवाल का जवाब न दे, लेकिन यह निश्चित रूप से एक बड़ा डीएनएस परिवर्तन है जिसके बारे में जानना है।

Microsoft एंटरप्राइज़ नेटवर्किंग ब्लॉग पर अधिक जानकारी ।


नेटवर्किंग ब्लॉग लिंक के लिए +1; मैंने पहले नहीं देखा था।
पोर्टमैन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.