Windows 7: “определение имен localhost обрабатывается в самом DNS”. Почему?
Это не точно, что Вы ищете, но возможно можно адаптироваться, это к потребностям с помощью этой ссылки (ищите "Использование памяти Для каждого процесса").
Я согласовал с разработчиком в команде Windows, и фактический ответ намного более безвреден, чем другие ответы на это сообщение :)
В какой-то момент в будущем, как мировые переходы от IPv4 до IPv6, IPv4 будет в конечном счете быть отключенным/удаленным компаниями, которые хотят к simplfy управлению сетью в их средах.
С Windows Vista, когда IPv4 был удален и IPv6 был включен, запрос DNS для (IPv4), адрес привел к обратной петле IPv4 (который прибыл из файла hosts). Это, конечно, вызвало проблемы, когда IPv4 не был установлен. Фиксация должна была переместить всегда существующий IPv4 и петлевые записи IPv6 от хоста в сопоставитель DNS, где они могли быть независимо отключены.
- Sean
-
1если you' ve получил прямую ссылку на команду Windows, можете, Вы заставляете их удостоверяться, что NSEC3 поддерживается? Проверка DNSSEC без NSEC3 будет бесполезной! Я знаю для того, что .com будет использовать NSEC3 когда it' s подписанный когда-то в 2011. – Alnitak 19 May 2009 в 02:25
-
2(в проверяющем тупиковом сопоставителе, который является). – Alnitak 19 May 2009 в 02:26
Windows 7 представляет (дополнительно) поддержку проверки DNSSEC. Средства управления могут быть найдены под "политикой Определения имен" в "Локальной Групповой политике" плагин (c:\windows\system32\gpedit.msc)
К сожалению, это не делает (AFAIK) поддержки RFC 5155 NSEC3 записи, который много больших зональных операторов (включая .com) будет использовать, когда они пойдут живые с DNSSEC за следующие несколько лет.
-
1
Учитывая, что все больше приложений в Windows использует IP для возражения себе, вероятно, включая многую службу Windows я видел, что кто-то изменил localhost для указания где-то в другом месте как являющийся интересным вектором атаки. Мое предположение - это, был изменен как часть SDL Microsoft.
Я вижу это также быть попыткой укрепить их безопасность. Путем "фиксации" localhost, чтобы всегда указать на обратную петлю они могут избежать приступов отравления DNS, которые начинают обнаруживаться в дикой природе.
Я действительно соглашаюсь, хотя, это является немного тревожащим на некоторых уровнях...
Мне было бы любопытно знать, можно ли переопределить localhost в самом DNS все же. Использование файлов открытого текста для управления этими настройками никогда, возможно, не считалось лучшей практикой безопасности. Мне кажется, что новые меры безопасности Microsoft идут вне предотвращения корневого доступа, и копается более глубоко в детальных уязвимостях. Я не уверен, насколько можно остаться шаг перед мотивированными черными шляпами, независимо.
-
1localhost - просто другой запись в Вашей зоне, it' s только конвенция, которая указывает на него на 127.0.0.1. Таким образом да, можно указать на localhost на что-либо, что Вы любите, и если взломщик может получить контроль сервера DNS, они могут изменить эту запись для целой сети компьютеров W7, а не всего один с файлом hosts. It' s известная проблема для корневых серверов DNS, что люди не включают localhost запись в их зону, таким образом, запрос отправлен к корню: bit.ly/ybu1a – Cawflands 16 May 2009 в 12:25
Я думаю, что это имеет некоторое отношение к Microsoft, реализовывая RFC 3484 для целевого выбора IP-адреса. Это - функция IPv6, бэкпортированная к IPv4, и влияет на Vista/Сервер 2008 и выше. Это изменение повреждает круговой DNS, поэтому даже если это не отвечает на Ваш вопрос, это - определенно главное изменение DNS для знания о.
Больше информации в Microsoft Enterprise, Объединяющей блог в сеть.
-
1