文章总结： 文章探讨红队在内网进行隐秘资产测绘的技术，指出主动扫描易触发EDR检测。提出可结合降低频率、随机延时及多协议组合优化扫描器。重点推荐被动扫描方法，即通过监听ARP和DHCP等广播流量推断主机信息，实现零流量注入。建议优先利用被动嗅探定位网段与重点资产，再进行针对性主动探测。 综合评分： 82 文章分类： 红队,内网渗透,安全工具

内网资产测绘的艺术

巡音安全

2025年12月16日 15:14 江苏

对于红队渗透人员来说，如何在高强度对抗环境下进行隐匿的内网探测尤为重要

内部网络映射的核心是收集私有网络内资产的情报，如服务器、工作站、路由器和物联网设备。与通常依赖公共数据源的外部侦察不同，内部映射是在边界内运行的，前提是初步访问已被获得——可能是通过被攻破的终端或钓鱼成功。

Key objectives include:主要目标包括：

• Identifying Assets: Pinpointing IP addresses, hostnames, and device types. 资产识别：定位 IP 地址、主机名和设备类型。
• Mapping Topology: Visualizing connections, subnets, and traffic flows. 拓扑映射：可视化连接、子网和流量流。
• Discovering Services: Detecting open ports, running applications, and potential vulnerabilities. 发现服务：检测开放端口、运行中的应用程序及潜在漏洞。

传统方法可能涉及主动扫描，例如Fscan等工具虽然可以快速拿取信息也更容易被发现，真正的艺术在于被动且低调的规避检测系统，如入侵检测系统（IDS）或终端检测与响应（EDR）工具

我们先说主动扫描：对于域外环境，通过各类协议，ICMP,TCP进行内网探测手法屡见不鲜，所有成熟的edr产品都能通过实时监控端点行为、网络连接和系统调用来检测异常模式，例如识别大量ICMP回显请求（ping扫描）或TCP SYN包的异常流量，以发现潜在的网络侦察活动。这些产品如Microsoft Defender for Endpoint会分析特殊探针响应，而其他EDR通过数据分析和行为模式匹配（如进程执行异常）来响应此类威胁。

这也就意味着即使我们封装为bof 或者其余dll都无法达到隐匿性的效果

最为常规的方法则是降低探测频率，随机延迟探测来实现隐秘性

但是这里我们还需要面对另一个问题：如果大规模的网段需要探测如何处理呢？究竟应该如何定位重点资产？

优化你的扫描器！

我们可以通过arp icmp tcp 甚至RPC组合实现随机协议扫描，结合网段随机ip和随机延时最大可能降低被发现的风险

被动扫描使用

被动方法则是在不注入流量的情况下监听现有的网络通信。通过分析广播协议，如地址解析协议（ARP）或动态主机配置协议（DHCP），可以推断活动主机及其配置。嗅探工具可以捕获这些数据包，揭示 MAC 地址和 IP 分配

这里我实现一个被动扫描的工具

当我们通过192.168.0.100对本机发送数据时：

可以轻松捕获到ip来源，如果入口机作为服务器，我们可以快速获取网段划分，然后再进行主动探测

更多内网域渗透信息：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：巡音安全 《内网资产测绘的艺术》