好的，接下来就进入到了我们的取证环节，我们为什么会去上级取证？是因为我们在安全设备上面发现了告警，在某某某监测平台上面监测到客户的主机，注意这也是客户的主机，也就是甲方的这个电脑，内部的电脑0.781 0.11.50等多个客户的主机是存在多条成功的攻击告警的。那么也就是说，在这么多的被攻击的主机里面，是有好几个是有可能已经被成功打穿了。

那么同时我们还通过设备上面的一些信息去分析得到什么，得到不仅存在内对外的攻击，并且还存在内对内的攻击。那么什么是内对外的攻击？我们来看一个图。好，那么客户的内网就像是我们的自己小区里面自己的家，我们的家庭是比较和睦的，对不对？那么同时如果不允许你进来，你也是不能进来的，而且由于是在公司里面，我们是在自己的家里面，我们平时没有事情也不会往外跑的，懂了没有，如果往外跑的话我们一定是知道的，那么正常来说是不会往外跑的，那么内对外的攻击就是我们家的人。他往外跑了。

那么什么是外网？外网就像是我们小区的休闲场所，你可以去，我可以去，大家都可以去。我们家的人也可以去，对不对？但是一般的不去。那么当当我们。从监测上设备上面发现。我们的这个客户的内网发生了什么，内对外的攻击以后，那么也就是说这一台电脑很有可能已经沦陷了，并且已经被攻击者控制了，所以他才会主动的干什么？往外走，这么说能理解吧？他已经被控制了，所以说他才会主动的往外走，他才会不断的去对外对外面请求发包。然后他只有他只有往外走和和我们的攻击者取得联系以后，我们的攻击者才可以对他下发一些指令，懂了没有？

我们的攻击者才可以对他下发一些指令，所以说它必须要往外走，那么ok，随后我们又发现了内对内的攻击，什么是内对内的攻击，我们家庭本来是很和谐的，是不会打架的对吧？但是当发生内对内的攻击的时候，这个时候说明什么？说明这一个攻击的请求，或者说这一个攻击的指令，并不是他自己想去执行的，而是谁，而是攻击者通过沟通他，然后再由他去对我们内部的家庭成员去发起了攻击行为。