前言：

      当一些新手刚开始做渗透的时候，难免离不开一些漏扫工具，于是就使用漏扫工具开始扫描一些网站，当网站没WAF的时候就会顺利扫描完一个网站，但是当网站有WAF的时候就不一样了，可能扫着扫着就发现自己不能访问网站了，但是别人还是能访问，毫无疑问，网站的WAF把你的IP封了，也就是把从你这个ip的流量到达网站服务器的流量全部进行封禁。

那么WAF是根据什么进行封禁的呢？

       一般来说WAF都是根据一些流量层面的特征进行封禁的，什么样的算特征呢？以AWVS进行举例

当使用awvs对网站进行扫描的时候，发送的流量包中会带有awvs特点的字段

例：

以上全部为AWVS扫描器的特征

全部AWVS扫描器特征参考：https://blog.csdn.net/SKI_12/article/details/78705998

然后WAF就会匹配你的流量包中有没有这些特征，有的话WAF就会认为有攻击者在使用漏扫工具扫描网站，是有害的，最后封禁ip

大致流程如下：

      打开awvs扫描网站→awvs短时间内向服务发送大量带有自身特征的报文→WAF会先检测到有未知ip短时间发送大量报文，这个时候还不会封禁IP，因为所有的厂商都会担心WAF的误报，漏报，不报，有时候正常的流量也会短时间发送大量链接→未知ip长时间发送大量报文，这个时候WAF就会认为ip是可疑的，就会对流量进行解析→解析完成之后，进行规则匹配，→匹配不到相应的规则，放行此流量→规则可以匹配上，封封禁IP

       具体过程还要看各家厂商怎么写的规则

如果非要使用awvs进行扫描带有WAF的网站

       悄悄告诉各位，可以让AWVS走burp的代理，线程设置超慢，使用burp的替换将awvs的所有特征进行替换，再让burp使用代理池，访问一次换一次ip“有几率绕”过WAF，

具体能不能过还要看各家厂商怎么写的规则

记住一点，所有的厂商都会担心WAF误报，漏报，不报

本文最终解释权归本文作者所有！！！

    任何公众号场、本项目涉及的任何工具，仅用于商业商业用途，不能保证其合法性和使用性，并能用于研究项目中的应用，目标和有效的实施情况自己判断；

     文章、项目内场所有资源文件，杜绝任何靶本公众号、自媒体进行形式的擅自转载、发布

    公众对脚本及任何概不负责包括不由任何脚本错误导致的工具损失或损害及任何法律责任；

    直接使用本或公众发布的技术、靶场、文章项目中涉及的脚本工具，但在某些行为不符合任何国家/地区或相关地区的情况下进行传播时，引发的隐私或其他任何法律问题的后果概不负责；

    如果任何单位或个人认为项目或文章的内容可能侵犯其权利，则应及时通知并证明其身份，证明我们将在收到证明文件后删除相关内容；

    以方式或使用此项目的任何人或直接使用项目的直接用户都应仔细阅读此声明；

    本公众号保留更改或补充，免责随时声明的权利；

    访问本公众号的任何文章或项目，请您立即接受此免责声明。

您在本声明未发出之时，或者使用访问已接受此声明，请查看本公众号。

                                                                                              此致

    由于、利用的信息而造成的任何或直接的此文传播后果，均由用户本人负责，作者不承担任何直接责任。

一切法律后果均由攻击者承担！！！

日站不规范，亲人两行泪！！！

日站不规范，亲人两行泪！！！

日站不规范，亲人两行泪！！！

• 专注于信息安全方面分享，传播商业性广告，不

• 关注不迷，点赞！关注！转向！评论！！

• 要投稿的请留言或者加微信，会第一时间回复，谢谢！

原文始发于微信公众号（每天一个入狱小技巧）：流量分析篇--WAF封禁你ip的全过程