2.1.2　进攻型OSINT

需要收集的目标信息依赖于渗透测试的初始目标。例如，如果测试者想访问个人医疗记录，他们需要相关方（第三方保险公司、保健服务提供者、信息运维主管、商业供应商等）的姓名和履历资料，还有他们的用户名和密码。如果攻击路线包括社交工程学，他们可能会将这个信息详细补充上，以提供请求信息的真实性。

·域名（Domain name）：在外部场景中识别攻击者或渗透测试人员的目标是通过域名开始的，域名是OSINT中最关键的元素。

·DNS侦察和路由映射（DNS reconnaissance and route mapping）：一旦测试人员确定其感兴趣的目标在线，下一步就是识别目标的IP地址和路由。DNS侦察关心的是：识别谁拥有一个特定域或一系列IP地址（whois-类别信息尽管在通用数据保护条例（GDPR）公布之后改变了很多。），定义实际域名的DNS信息和标识目标的IP地址，以及在渗透测试人员或攻击者与最终目标之间的路由。

图2-1　OSINT的思维导图

搜集这些信息是半主动的，一些信息是免费开源的，而另一些信息来自第三方实体，例如DNS注册机构。虽然注册机构可能会收集IP地址和关于攻击者的请求的数据，但很少提供终端目标的信息。可以由目标直接检测到的信息是从不用来评估或者保留的，如DNS服务器日志。因为需要的信息可以用一个确定的系统级、有条理的方法查询到，所以也可以自动收集信息。

在以下几节中，我们将讨论如何使用Kali Linux中的简单工具来枚举所有域名。