文章总结： BounceBack是一个强大且高度可定制的反向代理工具，集成WAF功能，专门设计用于隐藏红队的C2或钓鱼基础设施，有效防御蓝队、沙盒和扫描器的检测。它通过基于布尔的规则串接实现实时流量分析，包括IP过滤、地理定位检查、反向查找域探针等，并支持大规模黑名单和域名前置。项目结构易于扩展，允许自定义规则，支持多种协议如HTTP、DNS、TCP、UDP，并提供详细日志记录用于分析蓝队行为。这为红队提供了增强行动隐蔽性的实用解决方案。 综合评分： 84 文章分类： 红队,渗透测试,安全工具,WEB安全

红队行动安全隐形重定向

TtTeam

2025年12月17日 17:35 广东

BounceBack 是一个强大、高度可定制和可配置的反向代理，具备 WAF 功能，可以隐藏你的 C2/钓鱼等基础设施，防止蓝队、沙盒、扫描器等攻击。它通过各种过滤器及其组合进行实时流量分析，将你的工具隐藏起来，防止非法访客访问。

特征

• 高度可配置和可定制的过滤流水线，配合基于布尔的规则串接，能够将你的基础设施隐藏起来，不被最敏锐的蓝眼睛发现。
• 项目结构易于扩展，每个人都能为自己的 C2 添加规则。
• 集成并策划了与 IT 安全厂商相关的 IPv4 池和范围的大规模黑名单，并结合 IP 过滤器，阻止它们使用或攻击你的基础设施。
• 可塑的 C2 配置文件解析器能够根据可塑配置验证入站 HTTP 流量，并拒绝无效的数据包。
• 开箱即用的域名前置支持可以让你更好地隐藏基础设施。
• 能够将请求的 IPv4 地址与 IP 地理定位/反向查找数据进行核对，并与指定的正则表达式进行比较，以排除连接允许外公司、国家、城市、域名等的外部对等节点。
• 所有收到的请求都可以在任意时间段内被允许或拒绝，所以你可以配置工作时间过滤器。
• 支持在一个 BounceBack 实例中支持多个代理，使用不同的过滤流水线。
• Verbose 日志机制允许你跟踪所有收到的请求和事件，用于分析蓝队行为和调试问题。

规则

规则的主要理念是 BounceBack 如何匹配交通。该工具目前支持以下规则类型：

• 基于布尔的（或非布尔）规则组合
• IP 与子网分析
• IP 地理定位场检查
• 反向查找域探针
• 原始数据包正当表达匹配
• 可塑性 C2 配置文件用于流量验证
• 工作时间（或不工作时间）规则

自定义规则可以轻松添加，只需注册你的 RuleBaseCreator 或 RuleWrapperCreator 即可。请参见已创建的 RuleBaseCreators 和 RuleWrapperCreators

代理

代理部分用于配置监听和代理流量的位置、使用哪种协议以及如何串联规则以实现流量过滤。目前，BounceBack 支持以下协议：

• 用于你的网络基础设施的 HTTP（s）
• 用于你的 DNS 隧道
• 原始 TCP（带 TLS 或不带 TLS）和自定义协议的 UDP

自定义协议很容易添加，只需在管理器中注册新类型即可。代理实现的示例可以在这里找到。

查看原文：《红队行动安全隐形重定向》