Злоумышленники могут собирать IP-адреса атакуемой инфраструктуры, чтобы использовать их для атак. Публичные IP-адреса могут быть выделены организациям в виде блока или диапазона последовательных адресов. Информация о назначенных IP-адресах может включать такие подробности, как список используемых IP-адресов. IP-адреса могут помочь злоумышленнику получить дополнительные сведения о жертве, включая размер организации, физическое местоположение, поставщика интернет-услуг и особенности развертывания ее инфраструктуры с выходом в интернет.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем активного сканирования или фишинга с целью сбора сведений. Информация о назначенных целевой организации IP-адресах также может быть найдена в интернете или других доступных источниках, например путем поиска технической информации в общедоступных источниках. Сбор этой информации может открыть дополнительные возможности для разведки (например, активного сканирования или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа).