Windows 7 :“로컬 호스트 이름 확인은 DNS 자체에서 처리됩니다”. 왜?


44

Windows에서 18 년 동안 호스트 파일을 실행 한 후 Windows 7 빌드 7100에서이 파일을보고 놀랐습니다.

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

이 변경이 도입 되었는지 아는 사람 이 있습니까? 어떤 종류의 추론이 있어야한다고 확신합니다.

그리고 아마도 더 관련성이 높은 Windows 7의 다른 중요한 DNS 관련 변경 사항이 있습니까? localhost 이름 확인과 같은 기본 사항이 변경되었다고 생각하는 것이 조금 무섭습니다 .Win7의 DNS 스택에 다른 미묘하지만 중요한 변경 사항이 있다고 생각합니다.


현상금이 추가되었습니다. 보안에 대한 추측은 훌륭하지만 거의 확실합니다. 그러나 현상금이 Win7 DNS 변경 사항을 자세히 연구 한 사람을 끌어 들이기를 바랍니다.
포트만

누구든지 이것이 다른 문제 와 어떻게 관련이 있는지 설명 할 수 있습니까 ? stackoverflow.com/questions/1416128/… 지금은 내 호스트 파일에서 ipv4 localhost 항목의 주석 처리를 제거 할 것 같습니다.
Tyndall

답변:


29

Windows 팀의 개발자와 확인했으며 실제 답변은이 게시물에 대한 다른 답변보다 훨씬 무해합니다. :)

미래에 어느 시점에서 세계가 IPV4에서 IPV6으로 전환함에 따라 환경에서 네트워크 관리를 단순화하려는 회사가 IPV4를 비활성화 / 제거 할 것입니다.

Windows Vista에서는 IPv4를 제거하고 IPv6을 사용하도록 설정했을 때 A (IPv4) 주소에 대한 DNS 쿼리로 인해 IPv4 루프백 (호스트 파일에서 제공)이 발생했습니다. 이것은 물론 IPv4가 설치되지 않았을 때 문제를 일으켰습니다. 수정 사항은 항상 존재하는 IPv4 및 IPv6 루프백 항목을 호스트에서 DNS 확인 자로 이동하여 독립적으로 비활성화 할 수 있다는 것입니다.

바다


1
는 Windows 팀에 대한 직접 링크를 가지고 있다면, 당신은 할 수 기쁘게 그들을 NSEC3이 지원되어 있는지 확인하는거야? NSEC3가없는 DNSSEC 유효성 검사는 쓸모가 없습니다! .com이 2011 년 언젠가 서명 할 때 NSEC3을 사용할 것이라는 사실을 알고 있습니다.
Alnitak

(검증 스텁 리졸버에서).
Alnitak

9 1/2 년 후에도 여전히 IPv4를 사용합니다.
Christian

7

Windows 7에는 DNSSEC 유효성 검사에 대한 (선택적) 지원이 도입되었습니다 . 컨트롤은 "로컬 그룹 정책"플러그인 ( c:\windows\system32\gpedit.msc)의 "이름 확인 정책"에서 찾을 수 있습니다.

안타깝게도 (AFAIK)는 RFC 5155 NSEC3 레코드를 지원하지 않습니다.을 포함하여 많은 대형 영역 운영자 .com가 향후 2 년 동안 DNSSEC와 함께 사용할 때 사용할 것입니다.


DNSSEC 구현과 관련된 두 번째 관계는 news.softpedia.com/news/… 입니다.
aharden

5

Windows에서 점점 더 많은 응용 프로그램이 IP를 사용하여 자신과 대화하고 있다는 것을 감안할 때 많은 Windows 서비스를 포함하여 누군가 로컬 호스트를 변경하여 다른 곳을 흥미로운 공격 경로로 지적 할 수 있습니다. 내 생각에 그것은 Microsoft의 SDL 의 일부로 변경되었다는 것 입니다.


3

나는 이것이 또한 그들의 안보를 강화하려는 시도 인 것을 볼 수있다. 로컬 호스트를 항상 루프백을 가리 키도록 "고정"하면 DNS 중독 공격을 피할 수 있습니다.

동의하지만 일부 수준에서는 약간 혼란 스럽습니다 ...


2

그래도 DNS 자체에서 localhost를 재정의 할 수 있는지 궁금합니다. 이러한 설정을 관리하기 위해 일반 텍스트 파일을 사용하는 것이 보안 모범 사례로 간주 된 적이 없었습니다. Microsoft의 새로운 보안 조치는 루트 액세스 방지 이상의 미묘한 취약점에 더 깊이 빠져있는 것 같습니다. 나는 동기가 부여 된 검은 모자보다 한 발 앞서 나갈 수 있는지 확실하지 않습니다.


1
localhost는 영역의 또 다른 A 레코드이며 127.0.0.1을 가리키는 유일한 규칙입니다. 따라서 그렇습니다. localhost가 원하는 것을 가리킬 수 있으며 공격자가 DNS 서버를 제어 할 수 있으면 호스트 파일이있는 컴퓨터가 아닌 W7 컴퓨터의 전체 네트워크에 대해이 레코드를 변경할 수 있습니다. :이 요청을 루트로 전송됩니다, 그래서 사람들이 자신의 영역에서 로컬 호스트 A 레코드를 포함하지 않는 DNS 루트 서버에 대한 악명 문제입니다 bit.ly/ybu1a
Cawflands

2

목적지 IP 주소 선택을 위해 RFC 3484를 구현하는 것과 관련이 있다고 생각합니다. 이는 IPv4로 백 포트 된 IPv6 기능이며 Vista / Server 2008 이상에 영향을줍니다. 이 변경 사항은 라운드 로빈 DNS를 손상 시키므로 귀하의 질문에 대답하지 않더라도 반드시 알아야 할 중요한 DNS 변경입니다.

Microsoft Enterprise Networking 블로그 에서 자세한 내용을 확인하십시오 .


네트워킹 블로그 링크의 경우 +1; 나는 전에 그것을 보지 못했다.
포트만
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.