在红队测试中，我们经常遇到不同形式的基于 IP 的阻止。这可以有效防止密码暴力破解、API速率限制和其他形式的 IP 阻止（如 Web 应用程序防火墙 （WAF））等情况。

关于

IP阻止一直是阻止网站潜在恶意流量的一种简单而常见的方法。基于IP 的阻止的一般方法是监视特定类型的请求或行为，当找到它时，禁用对请求或行为来自的 IP 的访问。在这篇文章中，我们将介绍我们构建的Burp Suite扩展的需求和创建，以便轻松规避IP阻止。

绕过基于 IP 的阻止

云资源可用于更改攻击者的源 IP，以绕过基于 IP 的阻止和速率限制。随着云资源和服务变得非常便宜且易于获得，基于 IP 的阻止似乎变得不那么有效。例如，如果我的 IP 被网站阻止，我可以简单地在 AWS 中部署EC2 实例。部署 EC2 实例后，我将拥有不同的 IP 地址，并能够再次访问该网站。

在Burp Suite中安装插件

关于插件的安装很简单，我们只需在Bapp store中搜索ip rotate即可。kali中各种环境均已搭建，我们直接用就行了。

完成安装后，我们需要到AWS申请接口。（https://aws.amazon.com/cn/api-gateway/pricing/）API Gateway 免费套餐包含每月 100 万次 HTTP API 调用、100 万次 REST API 调用、100 万条消息和 750000 分钟的连接时间，最长可使用 12 个月。所以一般使用足够了。

申请完成后，在ip rotate中配置参数即可。

效果如下

总结

在之前我们也写过类似的文章《IP伪造插件FakeIP》。其实在burp自带的插件库中有很多好玩的插件，并且都是免费的。感兴趣的去研究下吧！

更多精彩文章 欢迎关注我们