使用AWS API网关绕过IP封锁：解除基于IP的访问限制

在红队测试中，我们经常遇到各种形式的基于 IP 的阻止，这种方法可以有效地防止密码暴力破解、API 速率限制以及其他形式的 IP 阻止，比如 Web 应用程序防火墙（WAF）等。

IP 阻止一直是阻止网站潜在恶意流量的一种简单而常见的方式。一般来说，基于 IP 的阻止方法是监视特定类型的请求或行为，一旦发现这些请求或行为，就禁止来自相关 IP 的访问。在本文中，我们将介绍我们构建的 Burp Suite 扩展的需求和创建过程，以便轻松规避 IP 阻止。

绕过基于 IP 的阻止

云资源可以用于更改攻击者的源 IP，以绕过基于 IP 的阻止和速率限制。随着云资源和服务变得非常便宜且易于获得，基于 IP 的阻止似乎变得不那么有效。例如，如果我的 IP 被网站阻止，我可以简单地在 AWS 中部署 EC2 实例。部署 EC2 实例后，我将拥有不同的 IP 地址，并能够再次访问该网站。

在 Burp Suite 中安装插件

安装插件非常简单，只需在 Bapp Store 中搜索 “IP Rotate” 即可。Kali 中的各种环境都已经搭建好，我们可以直接使用。

安装完插件后，我们需要到 AWS 申请接口。AWS API Gateway 的免费套餐包含每月 100 万次 HTTP API 调用、100 万次 REST API 调用、100 万条消息和 750,000 分钟的连接时间，这通常已经足够使用了。

申请完成后，在 IP Rotate 插件中配置参数即可。

总结

在之前我们也写过类似的文章《IP 伪造插件 FakeIP》。实际上，Burp Suite 自带的插件库中有许多有趣的插件，并且它们都是免费的。如果你对此感兴趣，不妨去研究一下！