Anti-Bot e Segurança 11 min de leitura

Rotação de Proxies para Pentest: Guia para Pesquisadores Autorizados

Guia prático sobre rotação de proxies para pentest e bug bounty. Subdomain discovery, asset discovery e scanner blending com proxies residenciais — estritamente dentro do escopo autorizado.

ProxyHat Team
Rotação de Proxies para Pentest: Guia para Pesquisadores Autorizados

Por Que Pentesters Precisam de Rotação de Proxies

Se você já teve um IP bloqueado pelo Cloudflare no meio de uma enumeração de subdomínios — ou recebeu um e-mail do programa de bug bounty perguntando por que seu scanner enviou 50.000 requisições em 30 segundos — este artigo é para você.

Pesquisadores de segurança autorizados enfrentam um dilema real: precisam mapear superfícies de ataque de forma completa, mas WAFs, rate limits e sistemas de detecção de bots foram projetados exatamente para impedir esse tipo de atividade. A rotação de proxies residenciais resolve parte desse problema, permitindo que o tráfego do seu scanner se distribua por milhares de IPs — mas apenas dentro de escopos explicitamente autorizados.

Aviso legal: Este guia é destinado exclusivamente a pesquisadores de segurança trabalhando dentro de escopos autorizados. Testar sistemas sem autorização explícita é ilegal na maioria das jurisdições. Sempre verifique as regras do programa de bug bounty, obtenha autorização por escrito e respeite os limites de requisições estipulados.

Escopo e Autorização: O Quadro Legal

Programas de Bug Bounty e Safe Harbor

Antes de configurar qualquer ferramenta, você precisa de uma fundação legal sólida. Programas de bug bounty em plataformas como HackerOne, Bugcrowd e Intigriti definem escopos explícitos — domínios, subdomínios e tipos de vulnerabilidades permitidos.

Safe harbor é a proteção legal que impede que o proprietário do ativo acione você judicialmente desde que você:

  • Opere exclusivamente dentro do escopo publicado;
  • Respeite limites de requisições especificados nas regras;
  • Reporte vulnerabilidades de forma responsável;
  • Não acesse dados de outros usuários além do mínimo necessário para demonstrar o bug.

Se o programa não menciona limites de taxa, pergunte antes de escanear. Muitos programas respondem em menos de 24 horas e preferem esclarecer do que lidar com um incidente de disponibilidade.

Documentação Obrigatória

Mantenha registro de:

  • URL das regras do programa no momento do teste (screenshot ou arquivo);
  • E-mail ou mensagem confirmando autorização para atividades específicas;
  • Timestamps de início e fim de cada sessão de teste;
  • Ferramentas utilizadas e volume de requisições enviado.

Essa documentação protege você legalmente e demonstra profissionalismo se houver qualquer disputa.

Subdomain Discovery com Rotação de IPs Residenciais

Enumeração de subdomínios é tipicamente a primeira fase de reconhecimento. Ferramentas como amass e subfinder consultam dezenas de APIs públicas — VirusTotal, CertSpotter, Shodan, SecurityTrails — e cada uma tem rate limits diferentes.

O problema: se você dispara todas as consultas de um único IP, rapidamente atinge limites por IP. Pior ainda, algumas fontes começam a retornar dados incompletos ou erros 429 sem aviso claro.

Configurando o Amass com Proxy Residencial

O Amass suporta configuração de proxy upstream diretamente no arquivo de configuração. Veja como integrar com proxies residenciais do ProxyHat:

# ~/.config/amass/amass.ini

[net]
http_proxy = http://user-country-US:YOUR_PASSWORD@gate.proxyhat.com:8080

# Para rotação por requisição, use sessões diferentes
# cada sessão = IP residencial distinto
http_proxy = http://user-session-sub1:YOUR_PASSWORD@gate.proxyhat.com:8080

[scope]
# SEMPRE defina o escopo explicitamente
allowed_domains = target-domain.com

Para rotação automática entre múltiplos IPs, você pode executar instâncias paralelas do amass, cada uma com uma sessão diferente:

# Execução paralela com sessões distintas para IPs diferentes
amass enum -config ~/.config/amass/amass-sess1.ini -d target-domain.com -o results1.txt &
amass enum -config ~/.config/amass/amass-sess2.ini -d target-domain.com -o results2.txt &
amass enum -config ~/.config/amass/amass-sess3.ini -d target-domain.com -o results3.txt &
wait

cat results*.txt | sort -u > all_subdomains.txt

Cada arquivo amass-sessN.ini usa um identificador de sessão diferente (user-session-sub1, user-session-sub2, etc.), garantindo que cada instância saia por um IP residencial distinto.

Subfinder com Proxy

O subfinder aceita proxy via flag ou variável de ambiente:

# Via variável de ambiente
export HTTP_PROXY=http://user-country-US:YOUR_PASSWORD@gate.proxyhat.com:8080
export HTTPS_PROXY=http://user-country-US:YOUR_PASSWORD@gate.proxyhat.com:8080

subfinder -d target-domain.com -all -o subfinder_results.txt

# Para rotação, execute em lotes com sessões diferentes
export HTTP_PROXY=http://user-session-osint1:YOUR_PASSWORD@gate.proxyhat.com:8080
subfinder -d target-domain.com -sources virustotal,certspotter -o batch1.txt

export HTTP_PROXY=http://user-session-osint2:YOUR_PASSWORD@gate.proxyhat.com:8080
subfinder -d target-domain.com -sources shodan,securitytrails -o batch2.txt

Asset Discovery: DNS Brute-forcing e Content Discovery

Depois de coletar subdomínios passivamente, a próxima fase é ativa: resolver DNS, descobrir hosts vivos e mapear conteúdo oculto.

DNS Brute-forcing Distribuído

Ferramentas como dnsx e massdns podem resolver milhares de subdomínios rapidamente, mas resolvers como Cloudflare e Google limitam consultas por IP. Distribuir as consultas por IPs residenciais diferentes resolve isso:

# Divida a lista de subdomínios em chunks
split -l 500 all_subdomains.txt chunk_

# Processe cada chunk com sessão diferente
for chunk in chunk_*; do
  SESS="dns-$(date +%s)"
  cat "$chunk" | dnsx -r resolvers.txt \
    -proxy "http://user-session-${SESS}:YOUR_PASSWORD@gate.proxyhat.com:8080" \
    -a -cname -resp -o "${chunk%.txt}_resolved.txt"
done

cat chunk_*_resolved.txt | sort -u > all_resolved.txt

Content Discovery com ffuf e Rotação de Proxies

O ffuf é uma das ferramentas mais populares para fuzzing de diretórios e arquivos. Quando o alvo tem WAF agressivo, cada requisição de um mesmo IP aumenta a chance de bloqueio. Rotação de proxies residenciais distribui o tráfego de forma que parece originar-se de usuários legítimos diferentes.

# ffuf com proxy residencial — rotação automática por requisição
# Use sessões sticky para manter consistência durante testes específicos

# Rotação por requisição (sem sessão fixa):
ffuf -u https://target-domain.com/FUZZ \
  -w /usr/share/seclists/Discovery/Web-Content/common.txt \
  -x http://user-country-US:YOUR_PASSWORD@gate.proxyhat.com:8080 \
  -rate 50 \
  -mc 200,204,301,302,307,401,403 \
  -o ffuf_results.json

# Sessão sticky (IP fixo) para testes autenticados:
ffuf -u https://target-domain.com/FUZZ \
  -w /usr/share/seclists/Discovery/Web-Content/common.txt \
  -x http://user-session-sticky01:YOUR_PASSWORD@gate.proxyhat.com:8080 \
  -rate 30 \
  -H "Cookie: session=abc123" \
  -mc 200,204,301,302,307,401,403

Nota sobre rate limiting: Mesmo com rotação de IPs, respeite limites razoáveis. O flag -rate 50 acima limita a 50 requisições por segundo — suficiente para eficiência sem sobrecarregar o alvo. Ajuste conforme as regras do programa.

Gobuster com Proxy

O gobuster suporta proxy via flag:

gobuster dir -u https://target-domain.com \
  -w /usr/share/seclists/Discovery/Web-Content/common.txt \
  -p http://user-country-US:YOUR_PASSWORD@gate.proxyhat.com:8080 \
  -t 20 \
  --delay 50ms

O flag --delay adiciona um atraso entre requisições — boa prática mesmo com rotação de IPs.

Scanner-Traffic Blending: Burp Suite com Proxy Residencial Upstream

Muitos pentesters realizam testes manuais e automatizados através do Burp Suite. Configurar um proxy residencial upstream no Burp permite que todo o tráfego — Scanner, Intruder, Repeater — saia por IPs residenciais que parecem tráfego orgânico.

Configuração Passo a Passo

  1. No Burp Suite, vá em Project Options → Connections → Upstream Proxy Servers;
  2. Clique em Add e configure:
    • Destination host: * (todos os hosts)
    • Proxy host: gate.proxyhat.com
    • Proxy port: 8080
    • Username: user-country-US (ou sessão específica)
    • Password: YOUR_PASSWORD
  3. Para rotação automática, use o formato de username sem sessão fixa;
  4. Para testes que exigem sessão persistente (login, fluxos multi-step), use user-session-NOME_SESSAO.

Estratégia de Blending

O conceito de blending é fazer o tráfego do scanner se parecer com tráfego de usuário real:

  • IPs residenciais em vez de datacenter — WAFs categorizam IPs de datacenter como suspeitos por padrão;
  • Geo-targeting — se o alvo é uma empresa brasileira, use user-country-BR para que o tráfego venha de IPs brasileiros;
  • Rate limiting — distribua scans ao longo de horas, não minutos;
  • Headers realistas — configure User-Agent strings variados no Burp;
  • Padrões de navegação — intercale scans automatizados com navegação manual no browser.
Estratégia Sem Proxy Residencial Com Proxy Residencial
IP originário Datacenter (facilmente bloqueado) Residencial (parece tráfego orgânico)
Rate limit por IP Bloqueado após poucas requisições Distribuído entre milhares de IPs
Geo-targeting IP único em localização fixa IPs no país/região do alvo
Detecção por WAF Alta — padrões de IP datacenter Baixa — tráfego parece legítimo
Sessões sticky Não aplicável Disponível para fluxos autenticados

Rate-Limit Etiquette: Respeitando Limites do Programa

Este é o ponto mais importante deste guia: rotação de proxies não é licença para bombardear um alvo. É uma ferramenta para distribuir tráfego de forma responsável, não para multiplicá-lo indiscriminadamente.

Princípios de Rate-Limit para Pentesters

  • Verifique as regras do programa. Muitos programas explicitam limites — ex.: "máximo 100 requisições/minuto". Respeite esses limites mesmo com rotação de IPs;
  • Se não houver regras explícitas, pergunte. Um e-mail rápido pode evitar um incidente;
  • Use rate limiting nas ferramentas. Sempre configure -rate no ffuf, --delay no gobuster, e limites no Burp Scanner;
  • Monitore respostas 429 e 503. Se aparecerem, reduza a taxa imediatamente;
  • Distribua no tempo. Prefira scans de 4 horas a 50 req/s do que scans de 10 minutos a 1000 req/s;
  • Documente volumes. Registre quantas requisições foram enviadas e em qual período.

Exemplo Prático de Configuração Responsável

Se o programa permite 100 requisições por minuto:

# ffuf com rate limit explícito
ffuf -u https://target-domain.com/FUZZ \
  -w /usr/share/seclists/Discovery/Web-Content/common.txt \
  -x http://user-country-US:YOUR_PASSWORD@gate.proxyhat.com:8080 \
  -rate 100 \
  -mc 200,204,301,302,307,401,403 \
  -o ffuf_results.json

# Monitorando respostas 429
# Adicione -fc 429 para filtrar e -v para verbose
# Se vir muitas respostas 429, reduza -rate

Enquadramento Legal: Por Que Autorização Explícita Não é Opcional

Não podemos ser claros o suficiente sobre isso:

Testar sistemas sem autorização explícita é ilegal. Isso se aplica em praticamente todas as jurisdições — EUA (CFAA), Europa (diretivas de cibercriminalidade), Brasil (Lei 12.737/2012, Carolina Dieckmann), e muitos outros países.

O Que Constitui Autorização Válida

  • Programa de bug bounty ativo com escopo que inclui o ativo que você está testando;
  • Contrato de pentest assinado pelo proprietário do ativo;
  • Carta de autorização (engagement letter) especificando escopo, duração e metodologia;
  • Scope letter de uma empresa autorizando testes em sua infraestrutura.

O Que NÃO Constitui Autorização

  • "O site não tem política de bug bounty, então é responsabilidade disclosure";
  • "Eu encontrei a vulnerabilidade acidentalmente" — se você estava fazendo varredura ativa, não foi acidental;
  • "Eu só testei até o ponto de confirmar o bug" — sem autorização, qualquer teste é não autorizado;
  • "O escopo é ambíguo" — ambiguidade significa que você deve esclarecer, não interpretar a seu favor.

Consequências de Testar Fora do Escopo

As consequências vão desde banimento de plataformas de bug bounty até processos criminais. Em 2023, pesquisadores foram processados nos EUA sob a CFAA por testes que consideravam "dentro do escopo" mas que o proprietário do ativo não autorizou. A carga legal recai sobre você para provar autorização — não sobre a vítima para provar que você não a tinha.

Casos de Uso Específicos para Pesquisadores de Segurança

OSINT e Coleta de Inteligência

Para pesquisadores realizando coleta passiva de inteligência sobre ameaças, proxies residenciais evitam que o IP do pesquisador seja atribuído ao alvo da investigação. Isso é particularmente importante em investigações de infraestrutura de phishing, onde o ator pode monitorar acessos ao seu infrastructure.

Use user-country-US ou outro país relevante para que o tráfego pareça local e não levante suspeitas. Para sessões longas de investigação, sessões sticky (user-session-osint-XYZ) mantêm o mesmo IP, evitando que o alvo detecte múltiplos IPs acessando os mesmos recursos.

Escaneamento Distribuído de Vulnerabilidades

Para varreduras de vulnerabilidades em escopo autorizado, distribuir o tráfego por múltiplos IPs residenciais reduz a chance de bloqueios prematuros pelo WAF, permitindo completar o mapeamento da superfície de ataque de forma mais completa.

Verificação de Geo-Restrictions

Muitas vulnerabilidades se manifestam apenas em determinadas regiões — por exemplo, redirecionamentos baseados em geolocalização que podem ser explorados, ou conteúdo diferente servido a IPs de países específicos. Proxies residenciais com geo-targeting permitem testar essas condições:

# Testando comportamento específico por região
curl -x http://user-country-BR:YOUR_PASSWORD@gate.proxyhat.com:8080 \
  https://target-domain.com/login -o response_br.html

curl -x http://user-country-US:YOUR_PASSWORD@gate.proxyhat.com:8080 \
  https://target-domain.com/login -o response_us.html

# Comparar respostas
diff response_br.html response_us.html

Principais Takeaways

  • Autorização primeiro. Sempre trabalhe dentro de escopo explicitamente autorizado — sem exceções.
  • Rotação de proxies distribui tráfego para evitar bloqueios de WAF, mas não é desculpa para aumentar volume.
  • Proxies residenciais são superiores a datacenter para pentesting porque WAFs não os categorizam como suspeitos.
  • Configure rate limiting em todas as ferramentas — ffuf, gobuster, Burp Scanner, amass.
  • Use geo-targeting para que o tráfego pareça local ao país do alvo.
  • Sessões sticky para fluxos autenticados; rotação automática para enumeração em massa.
  • Documente tudo — volumes, timestamps, escopos autorizados, ferramentas utilizadas.
  • Quando em dúvida, pergunte. Programas de bug bounty preferem esclarecer limites do que lidar com incidentes.

Conclusão

Rotação de proxies residenciais é uma ferramenta poderosa para pesquisadores de segurança autorizados — permite mapear superfícies de ataque de forma mais completa, evitar bloqueios prematuros de WAF e testar condições específicas por geolocalização. Mas essa ferramenta vem com responsabilidade: use-a estritamente dentro de escopos autorizados, respeite rate limits e documente suas atividades.

Para começar a integrar proxies residenciais nas suas ferramentas de pentest, acesse o dashboard do ProxyHat e configure suas credenciais. Com IPs residenciais em mais de 190 países e suporte a sessões sticky, você tem a flexibilidade necessária para testes de segurança profissionais e responsáveis.

Para mais detalhes sobre casos de uso específicos, confira nosso guia de web scraping com proxies ou explore as localizações disponíveis.

Pronto para começar?

Acesse mais de 50M de IPs residenciais em mais de 148 países com filtragem por IA.

Ver preçosProxies residenciais
← Voltar ao Blog