内网信息收集-入门概念

内网信息收集

在内网渗透测试环境中，有很多设备和防护软件，例如Bit9、ArcSight、Mandiant 等。它们通过收集目标内网的信息，洞察内网网络拓扑结构，找出内网中最薄弱的环节。信息收集的深度，直接关系到内网渗透测试的成败。

1、内网信息收集概述

渗透测试人员进人内网后，面对的是一片“ 黑暗森林”。所以，渗透测试人员首先需要对当前所处的网络环境进行判断。判断涉及如下三个方面。

我是谁?一对当前机器角色的判断。
这是哪?-对当前机器所处网络环境的拓扑结构进行分析和判断。
我在哪?-对当前机器所处区域的判断。

对当前机器角色的判断，是指判断当前机器是普通Web服务器、开发测试服务器、公共服务器、文件服务器、代理服务器、DNS服务器还是存储服务器等。具体的判断过程，是根据机器的主机名、文件、网络连接等情况综合完成的。对当前机器所处网络环境的拓扑结构进行分析和判断，是指对所处内网进行全面的数据收集和分析整理，绘制出大致的内网整体拓扑结构图。

对当前机器所处区域的判断，是指判断机器处于网络拓扑中的哪个区域，是在DMZ、办公区还是核心区。当然，这里的区域不是绝对的，只是一一个大概的环境。处于不同位置的网络，环境不一样，区域界限也不一定明显。

2、收集本机信息

不管是在外网中还是在内网中，信息收集都是重要的第一步。对于内网中的一一台机器，其所处内网的结构是什么样的、其角色是什么、使用这台机器的人的角色是什么，以及这台机器上安装了什么杀毒软件、这台机器是通过什么方式上网的、这台机器是笔记本电脑还是台式机等问题，都需要通过信息收集来解答。

2.1手动收集信息

本机信息包括操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。如果是域内主机，操作系统、应用软件、补丁、服务、杀毒软件一般都是批量安装的。