- Agrégation de listes d'adresses IP malveillantes scindée en fichiers de 131 072 entrées au maximum pour être intégrées dans des pare-feux : Fortinet FortiGate, Palo Alto, pfSense, OPNsense, IPtables ...
- Adresses IP malveillantes de type phishing, malware et C2 (Command & Control) donc à bloquer UNIQUEMENT en sortie : dans le sens LAN > WAN
- Adresses IP ordonnées en fonction du nombre de listes dans lesquelles elles apparaissent (IP malveillantes apparaissant dans le plus de listes sont donc dans le premier fichier full-aa.txt)
- Mise à jour toutes les heures
Fichiers à utiliser (liens dans la partie "Links" ci-dessous) :
- full-outgoing-ip-aa.txt : 131 072 adresses IP les plus malveillantes
- full-outgoing-ip-aX.txt : autres adresses IP malveillantes
- full-outgoing-ip-40k.txt : 40 000 adresses IP les plus malveillantes
- Aggregation of lists of malicious IP addresses split into files of a maximum of 131,072 entries to be integrated into firewalls: Fortinet FortiGate, Palo Alto, pfSense, OPNsense, IPtables ...
- Malicious IP addresses such as phishing, malware and C2 (Command & Control), therefore ONLY to be blocked in the LAN > WAN direction
- Adresses IP classées selon le nombre de listes dans lesquelles elles apparaissent (malicious IPs appearing most frequently first and therefore at the beginning of the full-aa.txt file)
- Updated every hour
Files to use (links in the "Links" section below):
- full-outgoing-ip-aa.txt: 131,072 most malicious IP addresses
- full-outgoing-ip-aX.txt: other malicious IP addresses
- full-outgoing-ip-40k.txt: 40,000 most malicious IP addresses
Update of the following table: 2025-05-02 10:14 CEST
| Malicious IP addresses in full-outgoing-ip-a-* | % | Number of IPs |
|---|---|---|
| Present in 3 sources and more | 0.61 % | 721 |
| Present in 2 sources | 5.92 % | 6 917 |
| Present in 1 source | 93.46 % | 109 191 |
| Total | 100 % | 116 829 |
Comment intégrer ces listes dans un pare-feu ?
- FortiGate
- Menu "Security Fabric → External Connectors → Create New → IP Address"
- Prendre une URL dans la partie "Links" ci-dessous
- Après, les listes peuvent être utilisées dans les "Firewall Policy" avec les objets "IP Address Threat Feed"
- Implémentation de la liste full validée même sur le plus petit boitier FortiGate 40F
- Plus d'informations : le tutorial vidéo d'un expert sécurité Fortinet et sur cette page de l'aide Fortinet
- Palo Alto : lien. Modèle PA-3200 et supérieurs limités à 150k IP (utilisez uniquement full-aa.txt), modèles inférieurs limités à 50k IP (utilisez le fichier full-40k.txt)
- Sophos : lien.
- pfSense : via le package pfBlocker-NG. Il faut aussi augmenter le nombre maximum d'entrées : voir ici.
- OPNsense : via API (doc). Modifier le nombre maximal d'entrées d'un alias : "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries".
- IPTables avec le paquet "ipset" : tutorial 1 tutorial 2
How to integrate these lists into a firewall?
- FortiGate
- Menu "Security Fabric → External Connectors → Create New → IP Address"
- Take a URL in the "Links" section below
- Then, the lists can be used in "Firewall Policy" as "IP Address Threat Feed" objects.
- Implementation of the full list validated even on the smallest FortiGate 40F appliance
- More information: the video tutorial from a Fortinet security expert and on this page Fortinet help page
- Palo Alto: here. PA-3200 model and above limited to 150k IP (use full-aa.txt only), lower models limited to 50k IP (use full-40k.txt file)
- Sophos : lien.
- pfSense: via the package pfBlocker-NG. The maximum number of entries must be increased: see here.
- OPNsense: via API (doc). Change the maximum number of entries for an alias: "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries".
- IPTables with the "ipset" package: tutorial 1 tutorial 2
Full aggregation files:
https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-aa.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-ab.txt
File of the 40,000 most malicious IPs:
https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-40k.txt
| Filename | Source | Description |
|---|---|---|
| abuse.ch-* | link | Command and Control, RAT, Malware IPs |
| alienvault-precisionsec-* | link | Command and Control and Malware IPs |
| cert.ssi.gouv.fr-* | link | Cybercriminal groups, Malware and Phishing IPs |
| cybercrime-tracker.net-* | link | Command and Control and Malware IPs |
| cybercure.ai-* | link | Malware IPs |
| digitalside.it-* | link | Malware IPs |
| drb-ra-* | link | Command and Control IPs |
| inquest.net-* | link | Command and Control and Malware IPs |
| malwarebytes-* | link | Command and Control, Malware and Phishing IPs |
| mattyroberts.io-* | link | Attackers, Botnet and Malware IPs |
| sicehice-* | link | Command and Control IPs |
| threatview.io-* | link | Botnet, C2, Malware and Phishing IPs |
| urlabuse.com-* | link | Hacked website, Malware and Phishing IPs |
| urlhaus.abuse.ch-* | link | Malware IPs |
| ut1-fr | link | Malware and Phishing IPs |
| viriback.com-* | link | Command and Control and Malware IPs |
- 2025-02-25: New source: malwarebytes
- 2024-08-21: New sources: alienvault-precisionsec, cybercrime-tracker.net, digitalside.it, drb-ra, ut1-fr, viriback.com
- 2024-07-17: New source: inquest.net
- 2024-07-11: New source: urlhaus.abuse.ch
- 2024-07-08: Initial release with first sources: abuse.ch, cert.ssi.gouv.fr, cybercure.ai, mattyroberts.io, sicehice.com, threatview.io and urlabuse.com
Contactez-moi via LinkedIn (mon profil) pour :
- m'indiquer des faux positifs
- être notifié quand un nouveau segment de fichier est créé (pour l'ajouter dans votre pare-feu)
- me proposer d'ajouter une autre source d'adresses IP malveillantes (voir sources actuelles)
Contact me via LinkedIn (my profile) to:
- notify me false positives
- be notified when a new file segment is created (to add it to your firewall)
- suggest I add another source of malicious IP addresses (see current sources