如何轮换您的源IP地址

Darin Roberts//

IP轮换 – 源IP轮换技术

最近在一次渗透测试中，我遇到了基于IP地址阻止密码喷洒的情况。如果从一个IP发出3次错误请求，该IP就会被屏蔽30分钟。这虽然是一种有效的安全措施，能够阻止寻找快速入侵途径的攻击者，但并不能完全防御 dedicated hacker（专注的黑客）进行的密码喷洒攻击。

绕过IP过滤的一种方法是使用轮换源IP。ProxyCannon是一款出色的工具，可自动将流量路由通过多个云服务器，从而分散流量的源IP地址（感谢#_shellIntel）。您可以参考这篇BHIS博客文章了解如何将ProxyCannon与Burp Suite结合使用：https://www.blackhillsinfosec.com/using-burp-proxycannon/。然而，我希望找到更易用的方案，经过研究发现了ProxyMesh服务。它设置简单，在密码喷洒过程中能有效轮换源IP。

ProxyMesh服务概述

根据我选择的计划，ProxyMesh提供两种代理选项：一种是基于美国的10个IP的代理，另一种称为“开放”代理，拥有8,743个IP。我测试了开放代理的速度和可靠性，并与美国选项进行了对比。

ProxyMesh提供多个付费等级，提供30天免费试用，试用结束后最低每月仅需10美元。显然，付费越高，服务质量越好。本文信息基于每月10美元的计划收集，如果您选择更高级计划，结果可能有所不同。

连接ProxyMesh的两种方法

我使用了两种方式连接ProxyMesh：第一种是通过Chrome的FoxyProxy插件，第二种是通过Burp Suite Pro。两种方法都效果良好，您可以根据需求选择设置。以下是具体配置方法。

使用FoxyProxy

打开FoxyProxy并设置新代理。以下是我为开放代理配置的设置（注意认证部分需要凭据）：

• 代理类型：HTTP
• 代理IP地址：open.proxymesh.com
• 端口：31280
• 认证：启用，输入用户名和密码

若要使用另一种代理（如美国代理），只需将主机名从open.proxymesh.com更改为us-wa.proxymesh.com。这样，每次加载网页时，请求都会来自不同的IP。以下是一些示例IP：

• 123.456.789.101
• 987.654.321.123

使用Burp Suite Pro

通过Burp Suite Pro运行请求可以更轻松地跟踪IP。配置Burp的代理设置如下：

• 代理监听器：添加新监听器
• 绑定到端口：8080（或自定义）
• 绑定到地址：所有接口
• 重定向所有流量：是
• 目标主机：留空（会自动添加通配符，使所有目的地使用代理）

性能测试与结果

开放代理测试

使用开放代理，我进行了100次请求的样本测试，以获取简单Web请求的IP地址。Burp默认设置：5线程，无限制。结果如下：

• 失败请求：7次（返回“错误请求”或超时）
• 重复IP：2次
• 完成时间：约1.5分钟

重复测试10次，结果相似。重复使用的IP（多次出现）极少，错误虽有些烦人，但通过排序结果并重新请求即可解决。如果您遇到问题，可能需要考虑其他选项。

从100次请求的样本中，IP来源国家及出现次数如下（总数不足100 due to errors）：

将线程数改为10后，错误和重复情况类似，但完成时间从1.5分钟降至约45秒。更多线程并未影响代理稳定性。将线程数改为1后，唯一变化是请求处理速度。

美国代理测试

切换到美国代理（US-WA）后，结果大不相同：100次请求在默认5线程、无限制下仅需约13秒完成。由于该代理轮换10个IP，所有IP都被多次使用（重复6-14次）。无错误返回，每个请求都成功获取IP。

结论

ProxyMesh是一种简单且经济高效的源IP轮换方法。通过它，我成功绕过了之前阻止密码喷洒的IP屏蔽机制。虽然基于IP的登录尝试屏蔽是优秀的安全功能，但不能完全依赖它来缓解密码喷洒风险。

您是否发现其他好用的轮换代理？欢迎分享，我们会进行评估。