最小限の外部知識で内部ネットワークをどのように列挙できますか?
シナリオは、ラップトップをある建物のイーサネットポートに接続することです。 IPアドレス(DHCP)を取得し、インターネットにアクセスできます。
ゲートからすぐにIP、ゲートウェイ、サブネットマスクがわかり、ARPスキャンを実行して、直接のサブネット上のホストを特定できます。インターネットからではなく、現在アクセスできる他の内部サブネットはどうですか?
これらのネットワークを識別するためにどのようなツールやテクノロジーを使用できるかを探しています。
いくつかのアイデア:
別のサブネットにたまたまブロードキャストされたトラフィックを受動的にリッスンします(これはスイッチドネットワークではありそうにありません)。
公に知られているARINブロックをチェックして、外部からファイアウォールで保護された内部的に到達可能なものがないか確認します。
ゾーン転送は、他の内部サブネット上の他のサーバーを識別できる内部で許可される場合があります。
私は何を取りこぼしたか?上記の戦略のうち、あなたの経験で最もうまくいくものは何ですか?
それらはかなり確かなアイデアです。しかし、あなたはこれを考えすぎていると思います。私は、nmap、怒っているIP、または内部(ルーティング不可能な)アドレスブロックに対する他のネットワークスキャナーなどから始めます。ゾーン転送またはスクリプトrDNSも試してみる価値があります。 DNSから多くの情報を得ることができます。
スニッフィングは非常に実り多いことができます。
他のいくつかのアイデア:
- Nmapスイープスキャン。多くの場合、単純なICMP pingは内部ネットワークで機能します。それ以外の場合は、139や22などの共通ポートを使用します。
- ホスト名のパターンを特定する-wks-1234を使用している場合は、wks-1235を試してください
- 一般的な名前のブルートフォースDNS
- 隣接するサブネットをスキャンします。 192.168.3.xxを使用している場合は、192.168.4.xxを試してください
- ドメインコントローラーを検索します(DNSサーバーの場合もあります)。コンピュータアカウントのリストを抽出できるが、最近これを実行できないと思う
- 一部のサービスロケーションプロトコルがあります(一部はDNSに基づいています)
より敵対的:
- ARPスプーフィングを使用したスイッチドネットワークでのスニッフィング
- ホストを危険にさらし、ネットワーク内でエスカレートします(私のコメントで述べたように)。