Burpsuite 伪造 IP

可以用于绕过 IP 封禁检测，用来暴力、绕过配额限制。

也可以用来做 ff98sha 出的校赛题，要求用 129 个 /8 网段的 IP 地址访问同一个 domain

插件 - IPRotate

原理：利用云服务商的反向代理服务。把反向代理的域名指向到目标 ip 即可。

https://rhinosecuritylabs.com/aws/bypassing-ip-based-blocking-aws/

More

这个东西有个学名叫 IP 池。github 有一个项目叫 proxy_pool。从网上的像站大爷这种代理 ip 供应商拉取 ip 地址列表，然后本地测试连通性筛掉不能用的。不过能用的不多。

在 google 上搜了一下，the zero hack 有一篇 blog 利用 5000 多个 ip 成功爆破 fb 手机验证码，利用 race hazard 绕过限速策略。文中对攻击成本如下描述

In a real attack scenario, the attacker needs 5000 IPs to hack an account. It sounds big but that’s actually easy if you use a cloud service provider like Amazon or Google. It would cost around 150 dollars to perform the complete attack of one million codes.