如何轮换您的源IP地址

Darin Roberts//

IP轮换 – 源IP轮换

我最近在一次任务中遇到了基于IP地址阻止密码喷洒的情况。如果我从我的IP发出3个错误请求，就会被阻止30分钟无法发出任何其他请求。这有多烦人？这是一种很好的安全形式，可能会阻止寻找快速入口的攻击者。但这种安全形式不应被视为阻止所有密码喷洒的方法。它不会阻止 dedicated hacker，那些真正试图访问您环境的人。

绕过IP过滤的方法之一是使用轮换源IP。ProxyCannon是一个出色的工具，可以自动通过多个云服务器路由您的流量，以多样化流量的源IP地址。（感谢#_shellIntel）。查看这篇BHIS博客文章，了解如何将ProxyCannon与Burp Suite结合使用：https://www.blackhillsinfosec.com/using-burp-proxycannon/。然而，我想找一些更易于使用的东西，所以我做了一些研究，发现了一个名为ProxyMesh的服务。设置起来相当简单，并且在密码喷洒期间可以很好地轮换源IP地址。

作为我注册计划的一部分，有两个代理选项。一个是有10个基于美国的IP的代理。另一个选项是称为“开放”的代理，有8,743个IP。我测试了开放代理的速度和可靠性，并与美国选项进行了比较。

ProxyMesh有多个支付级别。有30天免费试用，试用结束后，您可以每月低至10美元购买服务。显然，您支付的越多，获得的服务越好。本博客中收集的信息使用的是每月10美元的计划。如果您购买更好的计划，您的数字可能会有所不同。

我使用了两种方式连接到ProxyMesh。第一种方式是Chrome中的FoxyProxy附加组件。第二种方式是Burp Suite Pro。两种方法都很好用，因此根据您要尝试的操作，您可以任选一种方式进行设置。我将展示两种方法。

打开FoxyProxy并设置一个新代理。以下是我为开放代理设置的配置。请注意，认证部分需要凭据。

使用ProxyMesh中的另一个代理就像将主机名从open.proxymesh.com更改为us-wa.proxymesh.com一样简单。现在，每次我加载网页时，请求似乎都会来自不同的IP。以下是几个示例。

这很酷！但是，通过点击重新加载按钮并复制数字来运行测试非常耗时。通过使用Burp Suite Pro运行我的请求，我可以更轻松地跟踪IP。为了使用Burp，我需要配置代理设置。

我故意将目标主机留空。添加后，您会看到它输入了通配符，因此所有目标都使用代理。

对于使用开放代理的第一次试验，我运行了100个请求的样本大小，以从简单的Web请求中获取我的IP地址。我使用了burp的默认设置，5个线程，未限制。在100个请求中，我发现有7个失败，返回“错误请求”响应或超时。还有2个请求返回了先前使用的IP。这100个请求耗时不到1.5分钟完成。我总共运行了10次相同的试验，并汇总了以下结果。

多次使用的IP（重复）很少，不太让我担心。错误有点令人不安，但排序结果并重新发出那几个请求并不太麻烦。如果这对您是个问题，那么您可能需要考虑其他选项。

出于信息目的，样本揭示了以下国家的IP来源及其在100个请求样本中出现的次数。请注意，由于收到的错误，总数不等于100。

我将线程数设置为10，以查看是否对结果有任何影响。错误和重复似乎相似，完成请求的时间从1.5分钟下降到约45秒。使用更多线程似乎不影响代理的稳定性。我将线程数更改为1，同样，唯一的变化是请求处理的速度。

然后，我将代理更改为另一个选项，即美国-WA代理。

这些结果大不相同。100个请求快得多，使用默认的5个线程且无限制的情况下，大约13秒完成。由于代理轮换10个IP，所有IP都被多次使用。使用的IP在100个请求中重复了6到14次。此外，没有返回错误，每个请求都返回了一个IP。

最终，我发现这是一种简单且廉价的轮换源IP的方法。还记得我遇到的那个阻止密码喷洒的任务吗？通过使用ProxyMesh轮换我的IP，我能够进行密码喷洒。虽然阻止来自一个IP的多次登录尝试是一个很好的安全功能，但不应该依赖它来完全减轻密码喷洒的风险。

您是否找到了其他有效的轮换代理？请告诉我们，我们会检查它。