kraloveckey/ipsets-blocklist
GitHub: kraloveckey/ipsets-blocklist
一款基于Bash脚本的自动化IP威胁情报聚合器,每日自动拉取并处理数十个开源黑名单,为防火墙提供开箱即用的 ipsets 数据。
Stars: 0 | Forks: 0
# FireWALL-E:自动化 IP 阻断列表聚合器 🤖
本仓库每天更新一次,包含使用自定义 `firewall-e.sh` 脚本动态更新的 ipsets 列表,该脚本是 [FireHOL 的 update-ipsets](https://github.com/firehol/firehol/blob/master/sbin/update-ipsets) 脚本的深度修改和优化版本。
本仓库是自我维护的,通过每日 cron job 自动运行。它拉取最新的威胁情报,应用自定义白名单,使用 [iprange](https://github.com/firehol/iprange) 处理数据,并将更改直接提交到本仓库。
## 概述
- [FireWALL-E:自动化 IP 阻断列表聚合器 🤖](#firewall-e-automated-ip-blocklist-aggregator-)
- [概述](#overview)
- [贡献](#contributing)
- [为什么我们需要阻断列表?](#why-do-we-need-blocklists)
- [使用 ipsets](#using-ipsets)
- [使用哪些 ipsets?](#which-ipsets-to-use)
- [开放代理阻断列表的战术价值](#tactical-value-of-open-proxy-blocklists)
- [ipsets 列表 🔥](#list-of-ipsets-)
## 为什么我们需要阻断列表?
**[`^ 返回顶部 ^`](#overview)**
随着全球数字基础设施的成熟,网络犯罪的复杂性和复杂性正以前所未有的速度增长。我们已经远远超越了那个仅靠传统安全防护体系——独立防病毒软件、基础防火墙和传统入侵检测/防御系统 (IDS/IPS) ——就足以将恶意行为者拒之门外的时代。如今的威胁形势需要具备更广阔的视野。
现代网络战中最重要的范式转变是,攻击者通常不打算对您的系统造成直接、可见的破坏或窃取您的专有数据。相反,他们越来越将您的基础设施视为一次性战术资产。被攻陷的网络经常被劫持,用作静默代理、僵尸网络节点或垃圾邮件中继,以促成对完全无关第三方的攻击。由于这些攻击具有高度分布式、动态路由的特点,并且源于不断变化的全球 IP 地址池,因此孤立地识别和缓解它们几乎是不可能的。
为了有效打击这些分布式威胁,孤立作战已不再可行。我们必须通过共享的全球情报和协作经验来增强我们本地的安全态势。幸运的是,一个由安全研究人员、分析师和威胁狩猎团队组成的专注社区全天候工作,监控流量、部署蜜罐并精确定位恶意基础设施。他们劳动的成果是不断发布针对受损域名、URL 的精选阻断列表,最关键的是,针对有毒的 IP 地址。
在本项目中,我们主要严格关注 IP 地址。
在防火墙的最外围整合强大、由社区驱动的 IP 阻断列表是现代互联网安全的基石。这种主动策略的作用形式类似于数字群体免疫——它允许我们利用社区的集体遥测数据,在已知的欺诈者、自动扫描器和漏洞利用工具包触及我们的内部服务之前,预先丢弃来自它们的流量。
**为什么要在 GitHub 上聚合这些情报?**
将这些多样化的威胁源集中到一个 GitHub 仓库的决定是由三个核心工程优势驱动的:
1. `无摩擦的可用性和开源精神`:这些列表由致力于改善全球互联网安全的团队编制,并在网络上免费分发。在这里聚合它们创建了一个可靠的单一样本来源。(*免责声明*:虽然这些源是公开可用的,但某些可能带有特定的许可限制。在将它们部署到商业环境之前,请务必验证原始创建者的上游政策)。
2. `简化的自动化`:手动解析和更新数十个分散的威胁源是一场后勤噩梦。GitHub 提供了一种优雅、统一的分发机制。只需在边缘设备、路由器或服务器上配置定期的 `git pull`(例如,通过 cron job),您就可以通过一条命令立即将整个基础设施与最新的全球威胁情报同步。
3. `透明的版本控制和审计`:Git 是随时间跟踪数据的终极工具。在这里托管这些列表提供了不断变化的威胁形势的细粒度、可审计历史记录。网络管理员可以毫不费力地跟踪提交之间的差异,从而准确查看何时将特定 IP 或子网标记为恶意,以及何时将其修复并从列表中删除。
## 使用 ipsets
**[`^ 返回顶部 ^`](#overview)**
虽然整合自动化威胁情报非常有效,但需要有策略和深思熟虑的实施。盲目地基于外部阻断列表丢弃流量会带来固有的操作风险。配置不当的防火墙规则很容易引发自我造成的拒绝服务,无意中锁定合法用户或关键业务客户,甚至切断您自己对基础设施的管理访问权限。
请遵循以下核心原则负责任地部署这些信息源:
1. 在将任何外部源整合到生产环境之前,请花时间访问原始维护者的网站。了解他们的检测方法、误报缓解策略和数据保留政策。通过将他们的 IP 列表直接输入到您的路由逻辑中,您是在隐式信任他们的操作准确性。确切地了解您正在信任谁来保护您的网络边界。
2. 生成和维护高保真威胁情报需要巨大的计算资源、带宽和人力。许多这些专注的研究团队依靠社区的支持来维持他们的行动。如果您从他们的数据中获取了价值,请考虑通过他们的捐赠模式支持他们,或升级到他们的高级商业级源,以确保他们工作持续的质量和寿命。
3. 威胁阻断列表必须严格应用于绝对的边界——特别是防火墙面向互联网的 WAN 接口。在放置位置上要格外小心。某些源故意包含不可路由的私有 IP 空间(例如 RFC 1918 地址)。如果您错误地将这些特定的阻断列表应用于内部接口(LAN、DMZ 或管理 VLAN),您将立即导致内部路由进入黑洞,并不可挽回地将您自己锁定在您的硬件之外。
4. 主动的安全态势必须始终与可靠的故障安全机制相匹配。您必须维护一个强大的静态白名单,其中包含可信基础设施、重要业务合作伙伴和管理端点的 IP 地址和 CIDR 子网。您的防火墙层级必须经过工程设计,以便显式的“允许”规则严格覆盖任何外部阻断列表逻辑。
## 使用哪些 ipsets?
**[`^ 返回顶部 ^`](#overview)**
选择合适的威胁情报源需要仔细平衡组织的风险承受能力与操作可用性。盲目应用每个可用的阻断列表将不可避免地导致严重的服务中断和误报。相反,应采用分层的、符合零信任原则的防御策略。
您的基础防护应该从网络的最边缘开始,使用基础性的、零容忍的情报。这些高保真源通常针对全球公认的网络犯罪集团、恶意软件命令和控制基础设施以及不可路由的 IP 空间。因为它们的误报率接近于零,所以它们非常适合在核心路由器上静默丢弃有毒流量,以免消耗防火墙状态表资源。在深入边界内部时,应使用跟踪主动暴力破解活动、凭证填充机器人和自动扫描器的动态威胁缓解源来增强此基线。虽然这些辅助阻断列表在保护暴露的管理接口或应用防火墙方面非常有效,但由于动态 IP 流失,它们带有捕获合法用户的轻微风险,因此需要强大的白名单和持续的日志监控。
除了基础防护之外,部署更激进或依赖上下文的情报完全取决于您特定的业务模式。威胁行为者大量利用公共的、未经身份验证的基础设施——例如开放代理和匿名化网络——来掩盖其来源并绕过速率限制。如果您运营一个企业身份验证网关或金融平台,其中验证真实的地理位置对防止欺诈至关重要,那么积极地将这些混淆节点列入黑名单是一种非常有效的策略,可以剥去攻击者的伪装。然而,应用这些匿名控制列表,以及标记通用垃圾邮件或激进网页抓取的众包启发式源,需要极其谨慎。在支持注重隐私的用户或公共访问的环境中,如此严格的规则将不可避免地破坏合法流量,并且通常更好地用于丰富 SIEM 遥测数据或保护孤立的蜜罐,而不是触发自动连接丢弃。
## 开放代理阻断列表的战术价值
**[`^ 返回顶部 ^`](#overview)**
需要明确的是,这里聚合开放代理列表并不是为了促进代理选购或匿名化路由。
如果您分析底层数据,并将开放代理源与主动威胁情报(例如 `blocklist_de` 或 `stopforumspam`)进行交叉比对,您会立即注意到存在大量的交集。
**这种关键的交叉印证证明了一个众所周知的操作策略**:威胁行为者在执行分布式攻击时严重依赖公共的、未经身份验证的开放代理来混淆其真实来源。
通过预先将已知的匿名化基础设施列入黑名单,您可以有效地剥离攻击者的伪装。如果您的系统受到主动的分布式攻击,预先阻止这些开放代理网络可以立即中和很大一部分恶意流量。
# ipsets 列表 🔥
以下列表于 Sun May 10 19:33:36 UTC 2026 自动生成。
更新频率是内部配置允许的最大值。列表绝不会在规定的更新频率之前被下载。如果超过此频率后,列表在服务器上未被修改(如 HTTP `IF_MODIFIED_SINCE` 方法所报告),则也可能不会被下载。
名称|信息|类型|条目|更新|
:--:|:--:|:--:|:-----:|:----:|
[abuseipdb_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/abuseipdb_1d.ipset)|[AbuseIPDB](https://www.abuseipdb.com/) 聚合的过去 1 天内报告的、滥用置信度约为 100% 的 IP 阻断列表。由 [borestad](https://github.com/borestad/blocklist-abuseipdb) 聚合。|ipv4 hash:ip|65902 个唯一 IP|每 1 天从[此链接](https://raw.githubusercontent.com/borestad/blocklist-abuseipdb/main/abuseipdb-s100-1d.ipv4)更新
[abuseipdb_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/abuseipdb_30d.ipset)|[AbuseIPDB](https://www.abuseipdb.com/) 聚合的过去 30 天内报告的、滥用置信度约为 100% 的 IP 阻断列表。由 [borestad](https://github.com/borestad/blocklist-abuseipdb) 聚合。|ipv4 hash:ip|125980 个唯一 IP|每 1 天从[此链接](https://raw.githubusercontent.com/borestad/blocklist-abuseipdb/main/abuseipdb-s100-30d.ipv4)更新
[alienvault_reputation](https://github.com/kraloveckey/ipsets-blocklist/blob/main/alienvault_reputation.ipset)|[AlienVault.com](https://www.alienvault.com/) IP 信誉数据库|ipv4 hash:ip|609 个唯一 IP|每 6 小时从[此链接](https://reputation.alienvault.com/reputation.generic)更新
[bds_atif](https://github.com/kraloveckey/ipsets-blocklist/blob/main/bds_atif.ipset)|[Binary Defense](https://www.binarydefense.com/) Artillery 威胁情报源 (ATIF)。由 Artillery 蜜罐/监控平台检测到的 IP。|ipv4 hash:ip|1188 个唯一 IP|每 1 天从[此链接](https://www.binarydefense.com/banlist.txt)更新
[blocklist_de](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被 fail2ban 检测到的 IP|ipv4 hash:ip|21106 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/all.txt)更新
[blocklist_de_apache](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_apache.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告对 Apache、Apache-DDOS、RFI-Attacks 服务发起攻击的所有 IP 地址。|ipv4 hash:ip|9157 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/apache.txt)更新
[blocklist_de_bots](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_bots.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告发起 RFI-Attacks、REG-Bots、IRC-Bots 或 BadBots (BadBots = 在开放论坛或 Wiki 上发布垃圾评论) 攻击的所有 IP 地址。|ipv4 hash:ip|1466 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/bots.txt)更新
[blocklist_de_bruteforce](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_bruteforce.ipset)|[Blocklist.de](https://www.blocklist.de/) 所有使用暴力破解登录攻击 Joomla、Wordpress 和其他 Web 登录系统的 IP。|ipv4 hash:ip|1032 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/bruteforcelogin.txt)更新
[blocklist_de_ftp](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_ftp.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内因对 FTP 服务发起攻击而被报告的所有 IP 地址。|ipv4 hash:ip|490 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/ftp.txt)更新
[blocklist_de_imap](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_imap.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内因对 imap、sasl、pop3 等服务发起攻击而被报告的所有 IP 地址。|ipv4 hash:ip|3913 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/imap.txt)更新
[blocklist_de_mail](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_mail.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告对 Mail、Postfix 服务发起攻击的所有 IP 地址。|ipv4 hash:ip|13258 个唯一 IP|每15 分钟从[此链接](http://lists.blocklist.de/lists/mail.txt)更新
[blocklist_de_sip](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_sip.ipset)|[Blocklist.de](https://www.blocklist.de/) 尝试登录 SIP、VOIP 或 Asterisk 服务器并包含在 infiltrated.net IP 列表中的所有 IP 地址|ipv4 hash:ip|143 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/sip.txt)更新
[blocklist_de_ssh](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_ssh.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告对 SSH 服务发起攻击的所有 IP 地址。|ipv4 hash:ip|4555 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/ssh.txt)更新
[blocklist_de_strongips](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_strongips.ipset)|[Blocklist.de](https://www.blocklist.de/) 所有存在时间超过 2 个月且攻击次数超过 5,000 次的 IP。|ipv4 hash:ip|320 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/strongips.txt)更新
[blocklist_net_ua](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_net_ua.ipset)|[blocklist.net.ua](https://blocklist.net.ua) BlockList 项目旨在保护免受互联网上有害和潜在危险事件的负面影响。首先,该服务将帮助互联网和托管提供商保护用户的网站免受黑客攻击。BlockList 将帮助阻止接收来自可疑 SMTP 中继的大量垃圾邮件或阻止对服务器和网络设备进行暴力破解密码的尝试。|ipv4 hash:ip|82552 个唯一 IP|每 10 分钟从[此链接](https://blocklist.net.ua/blocklist.csv)更新
[botscout](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botscout_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout_1d.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botscout_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout_30d.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botscout_7d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout_7d.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botvrij_dst](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botvrij_dst.ipset)|[botvrij.eu](http://www.botvrij.eu/) 关于恶意目标 IP 的攻击指标 (IOCS),通过开源信息源(博客页面和 PDF 文档)收集,然后合并到不同的数据集中。为确保数据质量,所有超过大约 6 个月的条目都将被删除。|ipv4 hash:ip|4 个唯一 IP|每 1 天从[此链接](http://www.botvrij.eu/data/ioclist.ip-dst.raw)更新
[botvrij_src](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botvrij_src.ipset)|[botvrij.eu](http://www.botvrij.eu/) 关于恶意源 IP 的攻击指标 (IOCS),通过开源信息源(博客页面和 PDF 文档)收集,然后合并到不同的数据集中。为确保数据质量,所有超过大约 6 个月的条目都将被删除。|ipv4 hash:ip|0 个唯一 IP|每 1 天从[此链接](http://www.botvrij.eu/data/ioclist.ip-src.raw)更新
[ciarmy](https://github.com/kraloveckey/ipsets-blocklist/blob/main/ciarmy.ipset)|[CIArmy.com](http://ciarmy.com/) 具有较差恶意数据包得分且尚未被社区识别为恶意的 IP|ipv4 hash:ip|15000 个唯一 IP|每 3 小时从[此链接](http://cinsscore.com/list/ci-badguys.txt)更新
[cleantalk](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_1d.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new_1d)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_30d.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new_30d)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_7d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_7d.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new_7d)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_new](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cleantalk_new_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new_1d.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cleantalk_new_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new_30d.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cleantalk_new_7d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new_7d.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cps_abusech](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cps_abusech.ipset)|CriticalPathSecurity Abuse.ch IP 阻断列表源。|ipv4 hash:ip|5 个唯一 IP|每 1 小时从[此链接](https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/abuse-ch-ipblocklist.txt)更新
[cps_log4j](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cps_log4j.ipset)|CriticalPathSecurity Log4j 扫描器和利用者。|ipv4 hash:ip|25292 个唯一 IP|每 1 小时从[此链接](https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt)更新
[cta_cryptowall](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cta_cryptowall.ipset)|[Cyber Threat Alliance](http://www.cyberthreatalliance.org/cryptowall-dashboard.html) CryptoWall 是当今影响互联网用户的最有利可图且影响范围最广的勒索软件活动之一。通过共享情报和分析资源,CTA 分析了最新版本的 CryptoWall,该版本影响了数十万用户,在全球造成超过 3.25 亿美元的损失。|ipv4 hash:ip|1360 个唯一 IP|每 1 天从[此链接](https://public.tableau.com/views/CTAOnlineViz/DashboardData.csv?:embed=y&:showVizHome=no&:showTabs=y&:display_count=y&:display_static_image=y&:bootstrapWhenNotified=true)更新
[dataplane_dnsrd](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_dnsrd.ipset)|[DataPlane.org](https://dataplane.org/) 已被识别为向远程主机发送递归 DNS 查询的 IP 地址。此报告列出了可能正在编目开放 DNS 解析器或评估缓存条目的地址。|ipv4 hash:ip|6046 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/dnsrd.txt)更新
[dataplane_dnsrdany](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_dnsrdany.ipset)|[DataPlane.org](https://dataplane.org/) 已被识别为向远程主机发送递归 DNS IN ANY 查询的 IP 地址。此报告列出了可能正在编目开放 DNS 解析器的地址,以便日后利用它们促成 DNS 放大和反射攻击。|ipv4 hash:ip|73 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/dnsrdany.txt)更新
[dataplane_dnsversion](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_dnsversion.ipset)|[DataPlane.org](https://dataplane.org/) 已被识别为向远程主机发送 DNS CH TXT VERSION.BIND 查询的 IP 地址。此报告列出了可能正在编目 DNS 软件的地址。|ipv4 hash:ip|5366 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/dnsversion.txt)更新
[dataplane_sipinvitation](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sipinvitation.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SIP INVITE 操作的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SIP 客户端编目或实施各种形式的电话滥用。|ipv4 hash:ip|93 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sipinvitation.txt)更新
[dataplane_sipquery](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sipquery.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SIP OPTIONS 查询的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SIP 服务器编目或实施各种形式的电话滥用。|ipv4 hash:ip|5100 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sipquery.txt)更新
[dataplane_sipregistration](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sipregistration.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SIP REGISTER 操作的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SIP 客户端编目或实施各种形式的电话滥用。|ipv4 hash:ip|307 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sipregistration.txt)更新
[dataplane_sshclient](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sshclient.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SSH 连接的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SSH 服务器编目或尝试身份验证攻击。|ipv4 hash:ip|19668 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sshclient.txt)更新
[dataplane_sshpwauth](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sshpwauth.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现尝试使用 SSH 密码身份验证远程登录主机的 IP 地址。此报告列出了高度可疑且可能正在实施恶意 SSH 密码身份验证攻击的主机。|ipv4 hash:ip|9960 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sshpwauth.txt)更新
[dataplane_vncrfb](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_vncrfb.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 VNC 远程帧缓冲 (RFB) 会话的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 VNC 服务器编目或实施各种形式的远程访问滥用。|ipv4 hash:ip|1762 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/vncrfb.txt)更新
[dbip_country](https://github.com/kraloveckey/ipsets-blocklist/tree/main/dbip_country)|[DB-IP.com](https://db-ip.com/) 地理定位数据库|ipv4 hash:net|全世界|每 30 天从[此链接](https://download.db-ip.com/free/dbip-country-lite-2026-05.csv.gz)更新
[dm_tor](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dm_tor.ipset)|[dan.me.uk](https://www.dan.me.uk) TOR 节点动态列表|ipv4 hash:ip|7548 个唯一 IP|每 30 分钟从[此链接](https://www.dan.me.uk/torlist/)更新
[dshield](
本仓库包含一个自动维护的 IP 集合和网络集合(blocklists,即阻断列表),这些数据从互联网上的各种来源聚合而成。它旨在成为防火墙阻断规则的可靠来源。
**[`^ 返回顶部 ^`](#overview)**
以下列表于 Sun May 10 19:33:36 UTC 2026 自动生成。
更新频率是内部配置允许的最大值。列表绝不会在规定的更新频率之前被下载。如果超过此频率后,列表在服务器上未被修改(如 HTTP `IF_MODIFIED_SINCE` 方法所报告),则也可能不会被下载。
名称|信息|类型|条目|更新|
:--:|:--:|:--:|:-----:|:----:|
[abuseipdb_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/abuseipdb_1d.ipset)|[AbuseIPDB](https://www.abuseipdb.com/) 聚合的过去 1 天内报告的、滥用置信度约为 100% 的 IP 阻断列表。由 [borestad](https://github.com/borestad/blocklist-abuseipdb) 聚合。|ipv4 hash:ip|65902 个唯一 IP|每 1 天从[此链接](https://raw.githubusercontent.com/borestad/blocklist-abuseipdb/main/abuseipdb-s100-1d.ipv4)更新
[abuseipdb_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/abuseipdb_30d.ipset)|[AbuseIPDB](https://www.abuseipdb.com/) 聚合的过去 30 天内报告的、滥用置信度约为 100% 的 IP 阻断列表。由 [borestad](https://github.com/borestad/blocklist-abuseipdb) 聚合。|ipv4 hash:ip|125980 个唯一 IP|每 1 天从[此链接](https://raw.githubusercontent.com/borestad/blocklist-abuseipdb/main/abuseipdb-s100-30d.ipv4)更新
[alienvault_reputation](https://github.com/kraloveckey/ipsets-blocklist/blob/main/alienvault_reputation.ipset)|[AlienVault.com](https://www.alienvault.com/) IP 信誉数据库|ipv4 hash:ip|609 个唯一 IP|每 6 小时从[此链接](https://reputation.alienvault.com/reputation.generic)更新
[bds_atif](https://github.com/kraloveckey/ipsets-blocklist/blob/main/bds_atif.ipset)|[Binary Defense](https://www.binarydefense.com/) Artillery 威胁情报源 (ATIF)。由 Artillery 蜜罐/监控平台检测到的 IP。|ipv4 hash:ip|1188 个唯一 IP|每 1 天从[此链接](https://www.binarydefense.com/banlist.txt)更新
[blocklist_de](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被 fail2ban 检测到的 IP|ipv4 hash:ip|21106 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/all.txt)更新
[blocklist_de_apache](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_apache.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告对 Apache、Apache-DDOS、RFI-Attacks 服务发起攻击的所有 IP 地址。|ipv4 hash:ip|9157 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/apache.txt)更新
[blocklist_de_bots](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_bots.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告发起 RFI-Attacks、REG-Bots、IRC-Bots 或 BadBots (BadBots = 在开放论坛或 Wiki 上发布垃圾评论) 攻击的所有 IP 地址。|ipv4 hash:ip|1466 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/bots.txt)更新
[blocklist_de_bruteforce](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_bruteforce.ipset)|[Blocklist.de](https://www.blocklist.de/) 所有使用暴力破解登录攻击 Joomla、Wordpress 和其他 Web 登录系统的 IP。|ipv4 hash:ip|1032 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/bruteforcelogin.txt)更新
[blocklist_de_ftp](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_ftp.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内因对 FTP 服务发起攻击而被报告的所有 IP 地址。|ipv4 hash:ip|490 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/ftp.txt)更新
[blocklist_de_imap](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_imap.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内因对 imap、sasl、pop3 等服务发起攻击而被报告的所有 IP 地址。|ipv4 hash:ip|3913 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/imap.txt)更新
[blocklist_de_mail](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_mail.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告对 Mail、Postfix 服务发起攻击的所有 IP 地址。|ipv4 hash:ip|13258 个唯一 IP|每15 分钟从[此链接](http://lists.blocklist.de/lists/mail.txt)更新
[blocklist_de_sip](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_sip.ipset)|[Blocklist.de](https://www.blocklist.de/) 尝试登录 SIP、VOIP 或 Asterisk 服务器并包含在 infiltrated.net IP 列表中的所有 IP 地址|ipv4 hash:ip|143 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/sip.txt)更新
[blocklist_de_ssh](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_ssh.ipset)|[Blocklist.de](https://www.blocklist.de/) 过去 48 小时内被报告对 SSH 服务发起攻击的所有 IP 地址。|ipv4 hash:ip|4555 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/ssh.txt)更新
[blocklist_de_strongips](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_de_strongips.ipset)|[Blocklist.de](https://www.blocklist.de/) 所有存在时间超过 2 个月且攻击次数超过 5,000 次的 IP。|ipv4 hash:ip|320 个唯一 IP|每 15 分钟从[此链接](http://lists.blocklist.de/lists/strongips.txt)更新
[blocklist_net_ua](https://github.com/kraloveckey/ipsets-blocklist/blob/main/blocklist_net_ua.ipset)|[blocklist.net.ua](https://blocklist.net.ua) BlockList 项目旨在保护免受互联网上有害和潜在危险事件的负面影响。首先,该服务将帮助互联网和托管提供商保护用户的网站免受黑客攻击。BlockList 将帮助阻止接收来自可疑 SMTP 中继的大量垃圾邮件或阻止对服务器和网络设备进行暴力破解密码的尝试。|ipv4 hash:ip|82552 个唯一 IP|每 10 分钟从[此链接](https://blocklist.net.ua/blocklist.csv)更新
[botscout](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botscout_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout_1d.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botscout_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout_30d.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botscout_7d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botscout_7d.ipset)|[BotScout](http://botscout.com/) 帮助防止自动化的网络脚本(即机器人)在论坛上注册、污染数据库、传播垃圾邮件以及滥用网站上的表单。他们通过跟踪机器人使用的名称、IP 和电子邮件地址并将它们记录为唯一签名以供将来参考来实现这一点。他们还提供了一个简单但功能强大的 API,您可以使用它来测试网站上提交的表单。此列表由最近捕获的机器人组成。|ipv4 hash:ip|39 个唯一 IP|每 30 分钟从[此链接](http://botscout.com/last_caught_cache.htm)更新
[botvrij_dst](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botvrij_dst.ipset)|[botvrij.eu](http://www.botvrij.eu/) 关于恶意目标 IP 的攻击指标 (IOCS),通过开源信息源(博客页面和 PDF 文档)收集,然后合并到不同的数据集中。为确保数据质量,所有超过大约 6 个月的条目都将被删除。|ipv4 hash:ip|4 个唯一 IP|每 1 天从[此链接](http://www.botvrij.eu/data/ioclist.ip-dst.raw)更新
[botvrij_src](https://github.com/kraloveckey/ipsets-blocklist/blob/main/botvrij_src.ipset)|[botvrij.eu](http://www.botvrij.eu/) 关于恶意源 IP 的攻击指标 (IOCS),通过开源信息源(博客页面和 PDF 文档)收集,然后合并到不同的数据集中。为确保数据质量,所有超过大约 6 个月的条目都将被删除。|ipv4 hash:ip|0 个唯一 IP|每 1 天从[此链接](http://www.botvrij.eu/data/ioclist.ip-src.raw)更新
[ciarmy](https://github.com/kraloveckey/ipsets-blocklist/blob/main/ciarmy.ipset)|[CIArmy.com](http://ciarmy.com/) 具有较差恶意数据包得分且尚未被社区识别为恶意的 IP|ipv4 hash:ip|15000 个唯一 IP|每 3 小时从[此链接](http://cinsscore.com/list/ci-badguys.txt)更新
[cleantalk](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_1d.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new_1d)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_30d.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new_30d)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_7d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_7d.ipset)|[CleanTalk](https://cleantalk.org/) 今日 HTTP 垃圾邮件发送者(包含:cleantalk_new_7d)|ipv4 hash:ip|250 个唯一 IP|每 1 分钟更新
[cleantalk_new](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cleantalk_new_1d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new_1d.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cleantalk_new_30d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new_30d.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cleantalk_new_7d](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cleantalk_new_7d.ipset)|[CleanTalk](https://cleantalk.org/) 最近的 HTTP 垃圾邮件发送者|ipv4 hash:ip|250 个唯一 IP|每 15 分钟从[此链接](https://cleantalk.org/blacklists/submited_today)更新
[cps_abusech](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cps_abusech.ipset)|CriticalPathSecurity Abuse.ch IP 阻断列表源。|ipv4 hash:ip|5 个唯一 IP|每 1 小时从[此链接](https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/abuse-ch-ipblocklist.txt)更新
[cps_log4j](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cps_log4j.ipset)|CriticalPathSecurity Log4j 扫描器和利用者。|ipv4 hash:ip|25292 个唯一 IP|每 1 小时从[此链接](https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt)更新
[cta_cryptowall](https://github.com/kraloveckey/ipsets-blocklist/blob/main/cta_cryptowall.ipset)|[Cyber Threat Alliance](http://www.cyberthreatalliance.org/cryptowall-dashboard.html) CryptoWall 是当今影响互联网用户的最有利可图且影响范围最广的勒索软件活动之一。通过共享情报和分析资源,CTA 分析了最新版本的 CryptoWall,该版本影响了数十万用户,在全球造成超过 3.25 亿美元的损失。|ipv4 hash:ip|1360 个唯一 IP|每 1 天从[此链接](https://public.tableau.com/views/CTAOnlineViz/DashboardData.csv?:embed=y&:showVizHome=no&:showTabs=y&:display_count=y&:display_static_image=y&:bootstrapWhenNotified=true)更新
[dataplane_dnsrd](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_dnsrd.ipset)|[DataPlane.org](https://dataplane.org/) 已被识别为向远程主机发送递归 DNS 查询的 IP 地址。此报告列出了可能正在编目开放 DNS 解析器或评估缓存条目的地址。|ipv4 hash:ip|6046 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/dnsrd.txt)更新
[dataplane_dnsrdany](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_dnsrdany.ipset)|[DataPlane.org](https://dataplane.org/) 已被识别为向远程主机发送递归 DNS IN ANY 查询的 IP 地址。此报告列出了可能正在编目开放 DNS 解析器的地址,以便日后利用它们促成 DNS 放大和反射攻击。|ipv4 hash:ip|73 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/dnsrdany.txt)更新
[dataplane_dnsversion](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_dnsversion.ipset)|[DataPlane.org](https://dataplane.org/) 已被识别为向远程主机发送 DNS CH TXT VERSION.BIND 查询的 IP 地址。此报告列出了可能正在编目 DNS 软件的地址。|ipv4 hash:ip|5366 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/dnsversion.txt)更新
[dataplane_sipinvitation](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sipinvitation.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SIP INVITE 操作的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SIP 客户端编目或实施各种形式的电话滥用。|ipv4 hash:ip|93 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sipinvitation.txt)更新
[dataplane_sipquery](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sipquery.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SIP OPTIONS 查询的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SIP 服务器编目或实施各种形式的电话滥用。|ipv4 hash:ip|5100 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sipquery.txt)更新
[dataplane_sipregistration](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sipregistration.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SIP REGISTER 操作的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SIP 客户端编目或实施各种形式的电话滥用。|ipv4 hash:ip|307 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sipregistration.txt)更新
[dataplane_sshclient](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sshclient.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 SSH 连接的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 SSH 服务器编目或尝试身份验证攻击。|ipv4 hash:ip|19668 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sshclient.txt)更新
[dataplane_sshpwauth](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_sshpwauth.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现尝试使用 SSH 密码身份验证远程登录主机的 IP 地址。此报告列出了高度可疑且可能正在实施恶意 SSH 密码身份验证攻击的主机。|ipv4 hash:ip|9960 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/sshpwauth.txt)更新
[dataplane_vncrfb](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dataplane_vncrfb.ipset)|[DataPlane.org](https://dataplane.org/) 曾被发现在向远程主机发起 VNC 远程帧缓冲 (RFB) 会话的 IP 地址。此报告列出了不仅有端口扫描嫌疑的主机。这些主机可能正在进行 VNC 服务器编目或实施各种形式的远程访问滥用。|ipv4 hash:ip|1762 个唯一 IP|每 1 小时从[此链接](https://dataplane.org/vncrfb.txt)更新
[dbip_country](https://github.com/kraloveckey/ipsets-blocklist/tree/main/dbip_country)|[DB-IP.com](https://db-ip.com/) 地理定位数据库|ipv4 hash:net|全世界|每 30 天从[此链接](https://download.db-ip.com/free/dbip-country-lite-2026-05.csv.gz)更新
[dm_tor](https://github.com/kraloveckey/ipsets-blocklist/blob/main/dm_tor.ipset)|[dan.me.uk](https://www.dan.me.uk) TOR 节点动态列表|ipv4 hash:ip|7548 个唯一 IP|每 30 分钟从[此链接](https://www.dan.me.uk/torlist/)更新
[dshield](标签:ipset, IP聚合, IP集合, IP黑名单, PB级数据处理, T1141, 代理拦截, 威胁情报, 安全运维, 安全防护, 应用安全, 开发者工具, 恶意IP拦截, 数字取证, 网络安全, 网络安全研究, 网络拦截, 自动化脚本, 自动化运维, 防火墙, 隐私保护, 黑名单更新