文章总结： InfraGuard是一款专为红队设计的下一代C2基础设施防护工具，通过反向代理架构实现多协议支持与智能流量过滤。其核心能力包括解析主流C2框架配置文件、基于评分机制的7层过滤管道、集成威胁情报与自动化管理功能，并提供Web控制台实现集中化运维。工具采用Docker部署，支持SIEM集成与边缘代理扩展，适用于大规模红队行动的基础设施隐蔽性提升。 综合评分： 87 文章分类： 红队,内网渗透,安全工具,解决方案,渗透测试

InfraGuard：下一代红队基础设施守卫，全方位保护你的C2服务器

幻泉之洲

2026年4月29日 17:14 北京

在小说阅读器读本章

去阅读

面对蓝队的扫描器和网络探针，你的C2基础设施够安全吗？InfraGuard作为一个现代的反向代理，不仅能隔离你的红队服务器与公网，还能主动识别和拦截异常流量。它就像一个智能看门人，只放合法的信标流量进来。

01 为什么需要InfraGuard？

想象一下，你的Cobalt Strike团队服务器正暴露在互联网上。每天都有无数扫描器、安全公司的爬虫甚至蓝队分析师尝试发送探测请求。这些噪音不仅增加暴露风险，还可能干扰正常的信标通信。

InfraGuard就是为解决这个问题而生的。它是一个反向代理，部署在你的C2服务器和互联网之间。所有对C2域的访问都要先经过它。InfraGuard会仔细检查每一个入站请求，参照你的Malleable C2配置文件来判断它是不是一个合法的信标通信。可疑流量会被重定向到一个诱饵站点，而真实的信标通信则安然通过。

简单说，它帮你过滤了99%的噪音，只把真正的“队友”放进来。

02 核心能力：不只是个代理

InfraGuard功能不少，我们来挑几个重点说说。

多协议、多域名支持

它同时支持HTTP/HTTPS、DNS、MQTT和WebSocket监听。你可以用一个InfraGuard实例代理多个域名，每个域名可以对应完全不同的上游团队服务器（CS、Mythic、Brute Ratel等）和配置文件。这点对于管理多个战役或者同时使用多个C2框架的操作员来说，非常方便。

强大的C2 Profile验证

这是它的核心卖点。InfraGuard内置解析器，能解析并强制执行多种流行C2框架的配置文件，包括：

• Cobalt Strike (.profile)
• Mythic (HTTPX JSON)
• Brute Ratel C4 (.json)
• Sliver (.json)
• Havoc (.toml)

它会将配置文件里的所有设置（如HTTP方法、URI路径、请求头、参数等）转化为具体的路由和过滤规则。不符合配置文件的请求，一律按可疑处理。

计分制的过滤管道

InfraGuard没有简单的“是/否”逻辑，而是采用了一个更灵活的评分系统。每个入站请求会经过7个过滤器的检查：

• IP检查
• 机器人/爬虫检查
• 请求头异常检测
• DNS查询检查
• 地理位置过滤
• C2 Profile匹配度检查
• 防重放攻击检查

每个过滤器会给请求打一个0.0到1.0的危险分数。最终所有分数累加，如果超过你设定的阈值，请求就会被拦截或重定向。

这种计分机制让过滤更精细，也降低了误杀率。

内置情报与自动化

InfraGuard还集成了不少便利的自动化功能：

• IP情报：内置了19家安全厂商（如Shodan、Censys、Rapid7）的IP段黑名单，支持GEO IP过滤和反向DNS关键字匹配。
• 威胁情报源：可以自动从abuse.ch、Emerging Threats等公开源更新IP黑名单。
• 规则导入：可以直接导入你现有的 .htaccess 或 robots.txt 文件，将其中的IP或UA规则转化为自己的过滤条件。
• 动态IP白名单：可以配置为自动将成功发送了N次合法C2请求的IP加入白名单。
• 白名单信息丰富化：启动时，白名单中的CIDR段会自动被添加上所属ASN、组织、国家、大洲等信息（基于GeoLite2数据库）。

03 几个实用的高级功能

内容投递路由

除了转发请求，它还能直接提供文件。你可以指定特定的URI路径（比如 /downloads/payload.exe），让InfraGuard从本机文件系统、PwnDrop服务器或另一个HTTP代理去拉取文件返回给客户端。甚至可以玩点花的：只给匹配了C2配置的目标返回真实载荷，而给扫描器返回一个无害的诱饵文件。

Web控制台和命令中心

InfraGuard提供了一个现代化的Web仪表盘，实时显示请求流、域名统计数据、被拦截最多的IP等。你还能登录后进行管理操作，比如手动封禁/解封IP。

更厉害的是“命令中心”功能。如果你在多个VPS或云服务商部署了InfraGuard节点，命令中心可以将所有节点的统计数据、请求日志和实时事件流聚合在一个统一的视图中进行管理。

这个功能对于大规模的红队基础架构管理尤其有用，让你从一个地方就能看到全局状态。

生态集成

它考虑到了与企业现有安全工具链的对接：

• SIEM集成：内置插件，可以将日志推送到Elasticsearch、Wazuh和Syslog（支持CEF/JSON格式）。
• 告警推送：支持通过Webhook发送告警到Discord、Slack或任何兼容的平台（如Rocket.Chat, Mattermost, Teams）。
• 边缘代理：为了更好的隐蔽性，它提供了轻量级的Cloudflare Worker和AWS Lambda代码模板，方便你通过CDN基础设施进行域前置，实现隐藏真实IP和地域阻挡。

04 安装与快速上手

官方推荐使用Docker部署，这是最省事的方法。

1. 克隆项目并准备环境变量

git clone https://github.com/Whispergate/InfraGuard.git cd InfraGuard cp .env.example .env

编辑 .env 文件，填上你的域名、团队服务器地址、令牌等

2. 一键启动（包含反向代理和Web控制台）

docker compose up -d

上面两行命令就会启动两个服务：在80/443端口监听的代理服务器，和在8080端口提供服务的Web控制台。

如果需要自动获取Let’s Encrypt证书，或者集成GEO IP数据库、PwnDrop载荷服务器，Docker Compose都提供了对应的profile，启用很方便。

启用Let‘s Encrypt自动申请证书

在 .env 中设置：

  INFRAGUARD_LETSENCRYPT=true

  INFRAGUARD_DOMAIN=yourdomain.com

  [email protected]

然后运行：

docker compose –profile letsencrypt up certbot docker compose up -d proxy dashboard docker compose –profile letsencrypt up -d certbot-renew

配置文件是YAML格式，结构清晰。主配置需要定义监听的域名、对应的上游C2服务器、使用的C2配置文件路径以及各种过滤器参数和动作。

05 与传统方案对比

在它之前，RedWarden是社区里一个知名的Cobalt Strike重定向/过滤工具。下面做个简单对比：

架构差异：RedWarden是一个约99KB的单文件Go程序，很小巧。InfraGuard是模块化的Python包，功能更丰富。

支持范围：RedWarden只支持Cobalt Strike和HTTP。InfraGuard一口气支持了五大C2框架和四种协议。

过滤模型：RedWarden是二元的通过/拒绝。InfraGuard采用评分制，更灵活。

管理界面：RedWarden需要用命令行和查看日志。InfraGuard有网页、终端UI和聚合式命令中心。

总的来说，RedWarden像一把精准的瑞士军刀，小而美。InfraGuard则是一个功能齐全的战术背包，为复杂的红队基础架构管理而生。

06 写在最后

InfraGuard的设计思路很明确：为现代红队提供一个集中化、自动化、智能化的基础架构安全层。它把很多以前需要手动编写Nginx/Apache规则、写脚本同步威胁情报、搭建独立监控面板的工作，都集成到了一个工具里。

说实话，它的学习曲线会比简单配置一个Nginx反代要高一些，尤其是要理解和配置YAML以及各种过滤器参数。但如果你管理着多个C2服务器，或者对基础设施的隐蔽性和安全性有较高要求，那么投入时间去学习和部署InfraGuard是值得的。

它不一定适合每一个场景。对于小型、快速的行动，一个简单的CDN或者修改过的Nginx配置可能更直接。但对于需要持续化、大规模部署的红队来说，InfraGuard提供了一个强有力的现代化解决方案。

获取方式：私信回复”InfraGuard”获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《InfraGuard：下一代红队基础设施守卫，全方位保护你的C2服务器》