文章总结： 本文探讨红队对抗WAF感知行为的实战策略，旨在混淆攻击流量特征。核心要点包括利用代理池或跳板进行IP对抗，使用Yakit随机化TLS指纹，通过插件修改浏览器指纹防追踪，以及在攻击行为感知中限制频率与插入正常流量。文章提供了具体工具推荐，具备较强的实战参考价值。 综合评分： 85 文章分类： 红队,渗透测试,WEB安全,实战经验,安全工具

[攻防]红队基于 WAF 感知行为对抗

原创

ChinaRan404 ChinaRan404

知攻善防实验室

2026年2月26日 12:31 浙江

前言

最近在群里跟师傅们讨论动态对抗 WAF 拦截，想整理一下我这边的思路和结果。

有些安全设备会通过组合网络信息，对攻击进行感知，那么基于感知行为的对抗就是让安全设备认为每个请求都是新的用户，而并非攻击者，尽可能的让攻击流量“不可分类”

从我个人角度对动态对抗的了解无非就以下几点

1.浏览器指纹

2.TLS 指纹

3.IP 信息

4.攻击行为感知

那么就这以上几点进行一个我自身的汇总。

IP 对抗

1.首先最简单的 IP 信息对抗，采用代理池

两种策略，钱多公司给报销的用第一种，钱少自费用第二种

每次请求更换 IP

2.按量付费

代理池提取+ProxyCat，几分钟切换一次 IP

然而极端情况下更建议使用 ClashTun 或者软路由进行多层跳，最后再转回其他代理。

TLS 指纹对抗

然后就是 TLS 指纹信息

访问时随机客户端握手(ClientHello)消息，用于规避服务器对 TLS 指纹的检测(TLS指纹是一种用于通过分析客户端在建立安全连接时发送的握手信息来识别和分类SSL/TLS客户端的特征方法)

Yakit 直接搬来用

MITM 的时候启动

针对极端情况，将任意安全工具流量代理到 Yakit 并且打开随机 TLS 指纹。

代理 IP 的选择：

尽量选择与目前单位办公地点一致的 IP，否则防护策略可能会导致你访问不了。

浏览器指纹对抗

使用My Fingerprint浏览器插件进行对抗，先简单说明一下是为什么？

有些网站会收集你的浏览器信息，组成一个 Hash

比如

IP + TLS + Canvas + WebGL + 字体 + JS 特征

有些动态 WAF 会记录手机浏览器的指纹信息，那么这时候最简单是用指纹浏览器，但是不是很方便，这时候可以退而求其次，选择一些浏览器插件

可以自己去探索一下，细节就不讲了。

Github 地址在这

https://github.com/omegaee/my-fingerprint

攻击行为感知

在一些内部二开的 dddd、各种扫描工具中会加一些功能，比如：

1.限制扫描频率（这个基本都有，实战中第一轮打不出东西的话，建议频率调低，这个很重要）

2.攻击行为感知，随机增插正常用户行为流量

3.动态 Token，使用 Yakit 序列或者热加载进行对抗。

先写到这吧，有更多其他思路欢迎师傅们留言区讨论

交流群：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知攻善防实验室 ChinaRan404 ChinaRan404《[攻防]红队基于 WAF 感知行为对抗》