romainmarcoux/malicious-ip
GitHub: romainmarcoux/malicious-ip
Stars: 222 | Forks: 13
# 简介
#### **[FR]**
- 恶意 IP 地址列表聚合,拆分为最多 131,072 个条目的文件,以便集成到防火墙中:Fortinet **__FortiGate__**、Palo Alto、pfSense、OPNsense、IPtables ...
- **scanner** 和 **bruteforce** 类型的恶意 IP 地址,因此**仅**应在 **WAN > LAN** 方向的**入站**流量中阻止
- IP 地址根据其出现的来源数量进行排序(出现在最多来源中的恶意 IP 位于第一个文件 full-aa.txt 中)
- 每隔数**小时**更新一次
需使用的文件(链接位于下方的 “Links” 部分):
- full-aa.txt:131,072 个最恶意的 IP 地址
- full-a\*.txt:所有恶意 IP 地址,按 131,072 个 IP 分文件(适用于 FortiOS < 7.4.4)
- full-40k.txt:40,000 个最恶意的 IP 地址
- full-300k-a\*.txt:所有恶意 IP 地址,按 300,000 个 IP 分文件(适用于 FortiOS > 7.4.4)
- malicious-ip-by-country/full-\*.txt:某个国家的所有恶意 IP 地址(如果您需要缺失国家的文件,请给我发送消息)
白名单:以下服务的 IP 地址已从文件中移除:Google Bot、Bing Bot。
#### **[EN]**
- 恶意 IP 地址列表聚合,拆分为最多 131,072 个条目的文件,以便集成到防火墙中:Fortinet **__FortiGate__**、Palo Alto、pfSense、OPNsense、IPtables ...
- **scanner** 和 **bruteforce** 类型的恶意 IP 地址,因此**仅**应在 **WAN > LAN** 方向被阻止
- IP 地址根据其出现的来源数量进行排序(出现在最多来源中的恶意 IP 位于第一个文件 full-aa.txt 中)
- 每**小时**更新
需使用的文件(链接位于下方的 “Links” 部分):
- full-aa.txt:131,072 个最恶意的 IP 地址
- full-a\*.txt:所有恶意 IP 地址,按 131,072 个 IP 分文件(适用于 FortiOS < 7.4.4)
- full-40k.txt:40,000 个最恶意的 IP 地址
- full-300k-a\*.txt:所有恶意 IP 地址,按 300,000 个 IP 分文件(适用于 FortiOS > 7.4.4)
- malicious-ip-by-country/full-\*.txt:某个国家的所有恶意 IP 地址(如果您需要缺失国家的文件,请给我发送消息)
白名单:以下服务的 IP 地址已从文件中移除:Google Bot、Bing Bot。
# 菜单:
- [统计数据](https://github.com/romainmarcoux/malicious-ip#statistics)
- [FR-EN - 实施](https://github.com/romainmarcoux/malicious-ip#implementation)
- [文件链接](https://github.com/romainmarcoux/malicious-ip#files-urls)
- [来源](https://github.com/romainmarcoux/malicious-ip#sources)
- [发布说明](https://github.com/romainmarcoux/malicious-ip#releases-notes)
- [支持我](https://github.com/romainmarcoux/malicious-ip#to-support-me)
- [联系方式](https://github.com/romainmarcoux/malicious-ip#contact)
# 统计数据
下表更新时间:2026-03-03 10:12 CEST
| full-\* 中的恶意 IP 地址 | % | IP 数量 |
| ---------------------------------------------------------- | ------- | ------------- |
| 出现在 6 个及以上来源 | 5.55 % | 25 351 |
| 出现在 5 个来源 | 7.21 % | 32 894 |
| 出现在 4 个来源 | 7.34 % | 33 506 |
| 出现在 3 个来源 | 6.66 % | 30 411 |
| 出现在 2 个来源 | 13.15 % | 59 995 |
| 出现在 1 个来源 | 60.06 % | 274 004 |
| 总计 | 100 % | 456 161 |
与 FortiGate ISDB Malicious-Malicious.Server 共同 IP 表的更新时间:2026-03-03 01:50 CEST
| FortiGate 型号 | 与 ISDB 共同的 full-\* IP |
| ------------------------------------------------------------ | ----------- |
| 100F 及更低型号 | 6.24 % |
| 200F 及更高型号 | 6.24 % |
统计历史数据请见[此处](https://github.com/romainmarcoux/malicious-ip/blob/main/statistics/historical_statistics.md)。
按[国家](https://github.com/romainmarcoux/malicious-ip/blob/main/statistics/country_statistics.md)和[组织](https://github.com/romainmarcoux/malicious-ip/blob/main/statistics/as_statistics.md)分类的出现于至少 2 个来源中的恶意 IP 地址。
# 实施
#### **[FR]**
**如何将**这些列表集成到**防火墙**中?
- **FortiGate**
* 这是 FortiGate ISDB "**Malicious-Malicious.Server**" 数据库的补充(full-\* 列表与 ISDB 之间的共同 IP 统计数据见[此处](https://github.com/romainmarcoux/malicious-ip#statistics))。
* 菜单 "Security Fabric → External Connectors → Create New → IP Address"
* 在下方的 "Links" 部分获取 URL
* 之后,这些列表可以在 "Firewall Policy" 中作为 "**IP Address Threat Feed**" 对象使用
* 更多信息:我的[教程](https://www.linkedin.com/posts/romainmarcoux_bloquer-des-ip-de-listes-externes-sur-fortigate-activity-7112413515725852673-KD4q),一位 Fortinet 安全专家的[视频教程](https://www.youtube.com/watch?v=cg2fliMQdjo)以及 Fortinet 帮助[页面](https://docs.fortinet.com/document/fortigate/7.0.12/administration-guide/891236/ip-address-threat-feed)
- **Palo Alto**:[链接](https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/external-dynamic-list)。PA-3200 及更高型号限制为 150k IP(仅使用 full-aa.txt),较低型号限制为 50k IP(使用 full-40k.txt 文件)
- **Check Point**:[链接](https://support.checkpoint.com/results/sk/sk132193)
- **Sophos**:[链接](https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/ActiveThreatResponse/ConfigureFeeds/ThirdPartyThreatFeeds/index.html)。
- **pfSense**:通过 [pfBlocker-NG](https://docs.netgate.com/pfsense/en/latest/packages/pfblocker.html) 包。还需要增加最大条目数:见[此处](https://docs.netgate.com/pfsense/en/latest/firewall/aliases.html#alias-sizing-concerns)。
- **OPNsense**:通过 API([文档](https://docs.opnsense.org/development/api/core/firewall.html))。修改别名的最大条目数:"Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries"。
- **IPTables** 配合 "ipset" 包:[教程 1](https://www.malekal.com/comment-utiliser-ipset-sur-linux/) [教程 2](https://fr-wiki.ikoula.com/fr/Cr%C3%A9er_et_administrer_facilement_une_blacklist_avec_ipset/iptables)
#### **[EN]**
**如何将**这些列表集成到**防火墙**中?
- **FortiGate**
* 它是 FortiGate ISDB "**Malicious-Malicious.Server**" 数据库的补充(full-\* 列表与 ISDB 之间的共同 IP 地址统计数据见[此处](https://github.com/romainmarcoux/malicious-ip#statistics))。
* 菜单 "Security Fabric → External Connectors → Create New → IP Address"
* 在下方的 "Links" 部分获取 URL
* 之后,这些列表可以在 "Firewall Policy" 中作为 "**IP Address Threat Feed**" 对象使用。
* 更多信息:我的[教程](https://www.linkedin.com/posts/romainmarcoux_bloquer-des-ip-de-listes-externes-sur-fortigate-activity-7112413515725852673-KD4q),一位 Fortinet 安全专家的[视频教程](https://www.youtube.com/watch?v=cg2fliMQdjo)以及[Fortinet 帮助页面](https://docs.fortinet.com/document/fortigate/7.0.12/administration-guide/891236/ip-address-threat-feed)
- **Palo Alto**:[链接](https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/external-dynamic-list)。PA-3200 及更高型号限制为 150k IP(仅使用 full-aa.txt),较低型号限制为 50k IP(使用 full-40k.txt 文件)
- **Check Point**:[链接](https://support.checkpoint.com/results/sk/sk132193)
- **Sophos**:[链接](https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/ActiveThreatResponse/ConfigureFeeds/ThirdPartyThreatFeeds/index.html)。
- **pfSense**:通过 [pfBlocker-NG](https://docs.netgate.com/pfsense/en/latest/packages/pfblocker.html) 包。必须增加最大条目数:见[此处](https://docs.netgate.com/pfsense/en/latest/firewall/aliases.html#alias-sizing-concerns)。
- **OPNsense**:通过 API([文档](https://docs.opnsense.org/development/api/core/firewall.html))。更改别名的最大条目数:"Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries"。
- **IPTables** 配合 "ipset" 包:[教程 1](https://www.malekal.com/comment-utiliser-ipset-sur-linux/) [教程 2](https://fr-wiki.ikoula.com/fr/Cr%C3%A9er_et_administrer_facilement_une_blacklist_avec_ipset/iptables)
# 文件链接
包含所有恶意 IP 地址的文件链接,按 131,072 个 IP 分割(特别适用于 FortiOS < 7.4.4):
```
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-aa.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ab.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ac.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ad.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ae.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-af.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ag.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ah.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ai.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-aj.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-ak.txt
```
包含所有恶意 IP 地址的文件链接,按 300,000 个 IP 分割(特别适用于 FortiOS > 7.4.4):
```
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-300k-aa.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-300k-ab.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-300k-ac.txt
```
包含 40,000 个最恶意 IP 的文件链接(适用于小型防火墙或 Palo-Alto < PA-3200):
```
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/full-40k.txt
```
国家文件的 URL 示例
```
https://raw.githubusercontent.com/romainmarcoux/malicious-ip/main/malicious-ip-by-country/full-fr-aa.txt
```
# 来源
| 文件名 | 来源 | 历史 | 描述 |
| ------------------------------------------------------------ | ----------- | ------- | ----------- |
| abuseipdb-\* | [链接](https://www.abuseipdb.com/) | 120d | 协作型阻止列表 |
| alienvault-fakelabs-\* | [链接](https://otx.alienvault.com/pulse/62b111807cf993489def0c3b) | 30d | SSH 暴力破解蜜罐 |
| alienvault-georgs-\* | [链接](https://otx.alienvault.com/pulse/606d75c11c08ff94089a9430) | 30d | RDP/SSH/VNC 入侵及木马请求 |
| alienvault-ssh-bruteforce-\* | [链接](https://otx.alienvault.com/pulse/60ece5998a5b54a5ffe75cb4) | 30d | SSH 暴力破解蜜罐 |
| binarydefense.com-\* | [链接](https://www.binarydefense.com/) | 30d | 由 Binary Defense 维护的 IP 阻止列表 |
| blocklist.de-\* | [链接](https://www.blocklist.de/en/export.html) | 30d | 协作型阻止列表([6k 个传感器](https://www.blocklist.de/en/index.html))([统计](https://www.blocklist.de/en/statistics.html))|
| cinsscore.com-\* | [链接](https://cinsscore.com/#list) | 30d | 由 [CINS](https://cinsscore.com/#cins) 维护的 IP 阻止列表 |
| emergingthreats.net-\* | [链接](https://rules.emergingthreats.net/blockrules/) | 30d | 由 [Proofpoint](https://www.proofpoint.com/) 维护的 IP 阻止列表 |
| greensnow.co-\* | [链接](https://greensnow.co/) | 30d | 由 greensnow.co 维护的 IP 阻止列表 |
| isc.sans.edu-\* | [链接](https://isc.sans.edu/xml.html) | 20d | 协作型阻止列表([500k 个传感器](https://isc.sans.edu/about.html)):已移除误报 |
| malicious-ip-\* | [链接](https://github.com/duggytuxy/malicious_ip_addresses) | - | 私有蜜罐及其他来源 |
| nxdomain.no-\* | [链接](https://nxdomain.no/) | - | 暴力破解 |
| projecthoneypot.org-\* | [链接](https://www.projecthoneypot.org/) | 30d | 协作型阻止列表 |
| sekio-\* | - | 30d | 我的客户提供的恶意 IP |
| snort.org-\* | [链接](https://www.snort.org/) | 30d | 由 snort.org(归 [Cisco Talos](https://talosintelligence.com/) 所有)维护的 IP 阻止列表 |
| stamparm-\* | [链接](https://github.com/stamparm/ipsum) | 30d | 恶意 IP 地址列表聚合 |
# 发布说明
- 2026-01-27:新来源:nxdomain.no
- 2025-02-08:移除 Akamai(来源不再可用)
- 2024-08-23:新增 300k 恶意 IP 文件及按国家分类的恶意 IP 文件
- 2024-07-05:新来源:projecthoneypot.org
- 2024-06-05:将 Cloudflare 使用的 IP 地址加入白名单
- 2024-05-26:新来源:binarydefense.com。改进了对 isc.sans.edu 中低信号 IP 的利用。将历史源文件移动到 source 文件夹。
- 2024-01-20:新来源:alienvault-ssh-bruteforce、alienvault-georgs、alienvault-fakelabs。
- 2024-01-19:新来源:stamparm、akamai。
- 2024-01-16:将法国移动运营商使用的 IP 地址加入白名单。
- 2023-12-26:新来源:cinsscore.com、emergingthreats.net、greensnow.co、snort.org。
- 2023-10-05:新来源:isc.sans.edu。
- 2023-09-26:新来源:blocklist.de、abuseipdb.com。
- 2023-09-20:首个来源发布的初始版本:malicious-ip (github.com/duggytuxy/malicious_ip_addresses)。
# 联系方式
#### **[FR]**
通过 LinkedIn([我的主页](https://linkedin.com/in/romainmarcoux/)) 联系我,以便:
- 告知我误报情况
- 当创建**新文件**段时收到通知(以便将其添加到您的防火墙中)
- 建议我添加**其他**恶意 IP 地址来源(见当前[来源](https://github.com/romainmarcoux/malicious-ip#sources))
#### **[EN]**
通过 LinkedIn([我的主页](https://linkedin.com/in/romainmarcoux/)) 联系我,以便:
- 通知我误报情况
- 当创建**新**段时收到通知(以便将其添加到您的防火墙中)
- 建议我添加**其他**恶意 IP 地址来源(见当前[来源](https://github.com/romainmarcoux/malicious-ip#sources))
标签:FortiGate, IPtables, IP信誉, IP 地址批量处理, IP黑名单, OPNsense, Palo Alto, pfSense, PoC, WAN-LAN防护, 云存储安全, 入侵防御, 威胁情报, 威胁阻断, 安全列表, 密码管理, 开发者工具, 恶意IP地址库, 暴力破解, 网络安全, 网络扫描, 自动化防御, 防火墙集成, 隐私保护