Windows 7 :“로컬 호스트 이름 확인은 DNS 자체에서 처리됩니다”. 왜?

Windows에서 18 년 동안 호스트 파일을 실행 한 후 Windows 7 빌드 7100에서이 파일을보고 놀랐습니다.

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

이 변경이 왜 도입 되었는지 아는 사람 이 있습니까? 어떤 종류의 추론이 있어야한다고 확신합니다.

그리고 아마도 더 관련성이 높은 Windows 7의 다른 중요한 DNS 관련 변경 사항이 있습니까? localhost 이름 확인과 같은 기본 사항이 변경되었다고 생각하는 것이 조금 무섭습니다 .Win7의 DNS 스택에 다른 미묘하지만 중요한 변경 사항이 있다고 생각합니다.

Windows 팀의 개발자와 확인했으며 실제 답변은이 게시물에 대한 다른 답변보다 훨씬 무해합니다. :)

미래에 어느 시점에서 세계가 IPV4에서 IPV6으로 전환함에 따라 환경에서 네트워크 관리를 단순화하려는 회사가 IPV4를 비활성화 / 제거 할 것입니다.

Windows Vista에서는 IPv4를 제거하고 IPv6을 사용하도록 설정했을 때 A (IPv4) 주소에 대한 DNS 쿼리로 인해 IPv4 루프백 (호스트 파일에서 제공)이 발생했습니다. 이것은 물론 IPv4가 설치되지 않았을 때 문제를 일으켰습니다. 수정 사항은 항상 존재하는 IPv4 및 IPv6 루프백 항목을 호스트에서 DNS 확인 자로 이동하여 독립적으로 비활성화 할 수 있다는 것입니다.

바다

Windows 7에는 DNSSEC 유효성 검사에 대한 (선택적) 지원이 도입되었습니다 . 컨트롤은 "로컬 그룹 정책"플러그인 ( c:\windows\system32\gpedit.msc)의 "이름 확인 정책"에서 찾을 수 있습니다.

안타깝게도 (AFAIK)는 RFC 5155 NSEC3 레코드를 지원하지 않습니다.을 포함하여 많은 대형 영역 운영자 .com가 향후 2 년 동안 DNSSEC와 함께 사용할 때 사용할 것입니다.

Windows에서 점점 더 많은 응용 프로그램이 IP를 사용하여 자신과 대화하고 있다는 것을 감안할 때 많은 Windows 서비스를 포함하여 누군가 로컬 호스트를 변경하여 다른 곳을 흥미로운 공격 경로로 지적 할 수 있습니다. 내 생각에 그것은 Microsoft의 SDL 의 일부로 변경되었다는 것 입니다.

나는 이것이 또한 그들의 안보를 강화하려는 시도 인 것을 볼 수있다. 로컬 호스트를 항상 루프백을 가리 키도록 "고정"하면 DNS 중독 공격을 피할 수 있습니다.

동의하지만 일부 수준에서는 약간 혼란 스럽습니다 ...

그래도 DNS 자체에서 localhost를 재정의 할 수 있는지 궁금합니다. 이러한 설정을 관리하기 위해 일반 텍스트 파일을 사용하는 것이 보안 모범 사례로 간주 된 적이 없었습니다. Microsoft의 새로운 보안 조치는 루트 액세스 방지 이상의 미묘한 취약점에 더 깊이 빠져있는 것 같습니다. 나는 동기가 부여 된 검은 모자보다 한 발 앞서 나갈 수 있는지 확실하지 않습니다.

목적지 IP 주소 선택을 위해 RFC 3484를 구현하는 것과 관련이 있다고 생각합니다. 이는 IPv4로 백 포트 된 IPv6 기능이며 Vista / Server 2008 이상에 영향을줍니다. 이 변경 사항은 라운드 로빈 DNS를 손상 시키므로 귀하의 질문에 대답하지 않더라도 반드시 알아야 할 중요한 DNS 변경입니다.

Microsoft Enterprise Networking 블로그 에서 자세한 내용을 확인하십시오 .