免费的恶意IP黑名单查询数据库：AbuseIPDB，附 AbuseIPDB+Fail2Ban 集成教程

AbuseIPDB网站地址：https://www.abuseipdb.com/

什么是AbuseIPDB？

AbuseIPDB是一个由Marathon Studios Inc.管理的项目，其核心是一个共享众包的恶意IP地址数据库。

AbuseIPDB这个免费的在线工具，可以快速查询该IP被多少人举报过，以及是否有从事扫描、渗透、攻击、钓鱼、诈骗等恶意行为的前科，能方便地判断一个IP的性质，并决定如何处理它。

查询结果中最重要的指标是“Confidence of Abuse”（滥用可信度），这是一个从0到100的评分，依据回报频率和时间等因素，通过算法来判定该IP属于恶意来源的概率。例如，查询两个频繁访问的IP，结果可能都是100%，但通过分析回报详情，可以判断出它们只是进行无差别扫描的“海巡机器人”，虽然指数高但通常无需太担心，当然也可以选择直接在防火墙中将其封禁。除了在网页上手动查询，AbuseIPDB也提供了API接口用于集成应用，免费版有每天1000次的请求上限，经过认证的网站管理员可提升至每天3000次，对于一般的调查分析已经非常够用了。

如何使用AbuseIPDB？

方法一：手动查询与报告

可以直接访问AbuseIPDB的官方网站，直接手动输入 IP 地址提交发现的恶意IP进行查询。

方法二：集成API与Fail2Ban实现自动化

Fail2Ban是一款能自动扫描服务器日志并封禁恶意IP的开源软件，通过与AbuseIPDB集成，可以在封禁某个IP的同时，自动将其报告给AbuseIPDB的全球数据库。

AbuseIPDB + Fail2Ban 集成教程

要求已在 Linux 服务器上安装并配置好Fail2Ban (v0.10.0或更高版本)。并在AbuseIPDB官网注册账户并创建了一个API密钥。如果英文还可以，自己去看下 AbuseIPDB 官网的教程：https://www.abuseipdb.com/fail2ban.html#2

第一步：验证AbuseIPDB action文件是否存在

Fail2Ban的新版本通常已自带AbuseIPDB的配置文件。请检查 /etc/fail2ban/action.d/abuseipdb.conf 文件是否存在。如果不存在，需要从Fail2Ban的Github仓库手动下载并放置到该目录。

第二步：激活AbuseIPDB报告操作

编辑/etc/fail2ban/jail.local 文件，在希望启用自动报告的监控项中，添加 action_abuseipdb 这一行。

以SSH登录监控为例：

[sshd]
enabled = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
# 在默认的封禁操作下方，添加AbuseIPDB报告操作
action = %(action_)s
         %(action_abuseipdb)s[abuseipdb_apikey="YOUR_API_KEY", abuseipdb_category="18,22"]

• YOUR_API_KEY：替换为自己的AbuseIPDB API密钥。
• abuseipdb_category=”18,22″: 这是滥用行为的分类代码。18代表“暴力破解”，22代表“SSH”。可以根据不同的监控项，设置不同的分类代码（如FTP暴力破解为5，Web应用攻击为21等）。

第三步：重载配置并验证

保存jail.local文件后，执行以下命令重载Fail2Ban使其生效：

fail2ban-client reload

配置正确的话，当Fail2Ban下一次封禁IP时，就可以在AbuseIPDB官网的“已报告IP”页面看到自动提交的记录了。

常见问题解答 (FAQ)

1. 使用AbuseIPDB需要付费吗？

对于大多数个人用户，服务是免费的。免费账户通过API进行查询和报告的每日请求上限为1,000次。经过验证的网站管理员（Webmaster）可提升至3,000次。

2. 有没有什么不能报告的滥用类型？

是的。不允许报告SYN洪水攻击（因为源IP很可能是伪造的无辜IP）和UDP连接（因为源IP无法被验证）。

3. 我不想用API，可以爬取网页吗？

请不要爬取网页。 这会对服务器造成巨大负载。官方提供了轻量级的JSON API，请使用API进行集成。

4. 如何支持AbuseIPDB项目？

您可以通过捐款、分享您编写的集成代码，或者向他人介绍和链接到AbuseIPDB来支持该项目。