Firewallar Nasıl Çalışıyor?

Selamlar,


Kafam karıştı sormak istiyorum. Genel olarak turnstile'larda bir cookie eklenir ve o cookie eğer varsa direk olarak bypass edilirsiniz.
Şimdi şunu sormak istiyorum örneğin firewall'a takıldı ve cookie olmadan domain.com'a geldi cookiesi yok otomatik olarak arka planda waf'a düştü waf'ı geçti waf response headers olarak add cookie verdi ve bu cookie varsa direk olarak domain.com açılsın veya isteği işlesin mantığı oluşuyor.
Evet tamam iyi hoş ama gidip de adamın birisi browserdan 100 thread waf'ı geçse ve 100 cookie olsa ki bunu adam 100 kere yapsa 1 dakikada 10k cookiesi olur ve waf patlamış olur ve sadece ip ile wafı geçen ip aynı olması gerektiği için ip patlayana kadar istek alırsın ve sistem yavaşlar.
Eğer ki ben cookie olmadan göndermek istiyorsam nasıl bir yol izlerim örneğin device-id versem kullanıcıya ama buda aynı mantığa düşüyor diye düşünüyorum.Bunları geçmek bu kadar basit olmasa gerek tam olarak bu firewall/waf'lar nasıl çalışıyor?

düz mantık 1 browserden 100 farklı ip şeklinde giremeyeceğinden, önce rate limite takılacaksın, sonra puanlayacak seni ve devam ettigini görürse engelleyecek gibi düşünebilirsin.

her cıhazda bır parmak ızı sase no gıbı bunlar var bunları atlamak ya kernel ya asembrly ıle oda zor artık

durum cok daha karmasık yanı ustad

Turnstile/WAF mantığı sadece cookie varsa geçir şeklinde çalışmaz. Modern WAF'lar cookie'yi IP, User-Agent, TLS fingerprint, davranış analizi, rate limit ve bazen JavaScript doğrulamasıyla ilişkilendirir. Bu yüzden bir saldırganın çok sayıda geçerli cookie üretmesi teoride mümkün olsa da pratikte hız limitleri, challenge zorluğu ve anomali tespiti devreye girer. Device-ID de tek başına çözüm değil... sonuçta o da taklit edilebilir. Asıl amaç tek bir belirtece güvenmek değil, birden fazla sinyali birlikte değerlendirerek bot ile gerçek kullanıcıyı ayırmak.