Spécifications | Threat Intelligence Data Feeds | WhoisXML API

Spécifications

L'abonnement à ce flux de données est concédé sous licence à vous ou à votre organisation uniquement, vous ne pouvez pas revendre ou concéder à nouveau les données sans l'autorisation écrite explicite de Whois API, Inc. Toute violation sera poursuivie avec toute la rigueur de la loi.

Il y a 10 types de données différents dans l'exportation quotidienne. Chaque flux de données est publié quotidiennement à 3 heures du matin (UTC).

1. Malicious IPv4/IPv6 address data feeds

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
malicious-ips.v4.csv.gz 5.5MB 32MB 1,004,672
malicious-ips.v4.jsonl.gz 6.2MB 67MB 1,004,672
malicious-ips.v6.csv.gz 5.6MB 39MB 1,009,224
malicious-ips.v6.jsonl.gz 6.3MB 74MB 1,009,224

Format de sortie

ip,threatType,firstSeen,lastSeen 203.0.113.1,malware,1678372385 2001:0db8:85a3::8a2e:0370:7334,spam,1678372385 ...

Paramètres de sortie

ip
IoC : adresses IPv4 et IPv6 . Le flux IPv6 contient également des adresses IPv4 représentées dans la notation IPv6 .
threatType
Type de menace associé à l'objet de contrôle interne. L'un des éléments suivants : attack, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
UNIX date à laquelle l'activité a été détectée pour la première fois.
lastSeen
UNIX date à laquelle l'activité a été détectée la dernière fois.

2. Malicious domain name data feed

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
malicious-domains.csv.gz 39MB 286MB 6,957,036
malicious-domains.jsonl.gz 42MB 558MB 6,957,036

Format de sortie

domainName,threatType,firstSeen,lastSeen example.com,malware,1678372385 example.org,spam,1678372385 ...

Paramètres de sortie

domainName
IoC: domain name.
threatType
Type de menace associé à l'objet de contrôle interne. L'un des éléments suivants : attack, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
UNIX date à laquelle l'activité a été détectée pour la première fois.
lastSeen
UNIX date à laquelle l'activité a été détectée la dernière fois.

3. Malicious URL data feed

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
malicious-urls.csv.gz 42MB 116MB 1,073,285
malicious-urls.jsonl.gz 44MB 165MB 1,073,285

Format de sortie

url,host,threatType,firstSeen,lastSeen "example.com/wp-admin.php?hack_me=1","example.com",malware,1678372385 "/bad_path/bad_file.php","",malware,1678372385 ...

Paramètres de sortie

url
IoC : URL. Il peut être absolu (https://example.com/files/badfile.php) ou relatif (/files/badfile.php). Les URL relatives n'ont pas de champ domainName correspondant.
host
Nom de domaine ou IP pour les URL absolus.
threatType
Type de menace associé à l'objet de contrôle interne. L'un des éléments suivants : attack, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
UNIX date à laquelle l'activité a été détectée pour la première fois.
lastSeen
UNIX date à laquelle l'activité a été détectée la dernière fois.

4. Malicious file hash data feed

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
malicious-file-hashes.csv.gz 13MB 35MB 639,141
malicious-file-hashes.jsonl.gz 13MB 64MB 639,141

Format de sortie

hash,algo,threatType,firstSeen,lastSeen 1118d9c97f4ababe8ffcecef0946bcc8,md5,malware,1678372385 930619bc49c9836d26a3a2b75a3db93934d26fcb,sha1,malware,1678372385 ...

Paramètres de sortie

hash
IoC : somme de contrôle du fichier. L'algorithme de hachage est déterminé par le champ algorithm.
algo
L'algorithme utilisé pour générer la valeur du champ hashmd5 ou sha1.
threatType
Type de menace associé à l'objet de contrôle interne. L'un des éléments suivants : attack, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
UNIX date à laquelle l'activité a été détectée pour la première fois.
lastSeen
UNIX date à laquelle l'activité a été détectée la dernière fois.

5. Hosts files

Une liste de noms au format hosts contenant des noms de domaines malveillants mappés sur 0.0.0.0, afin d'en bloquer l'accès. Compatible avec la plupart des systèmes d'exploitation. La denylist contient le site IoCs actif la veille de l'exportation.

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
hosts.gz 34MB 211MB 6,813,347

Format de sortie

...
0.0.0.0 exemple.com
0.0.0.0 exemple.org
...

6. Nginx ngx_http_access_module compatible IPv4/IPv6 denylists in CIDR notation

Une liste contenant les plages IPv4 et IPv6 dans la notation CIDR formatée pour le format ngx_http_access_module. Ce fichier peut être utilisé dans la configuration de Nginx pour bloquer les adresses IP malveillantes. La liste denylist contient les IoCs actifs le jour précédant l'exportation.

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
nginx-access.v4.gz 5.1MB 30MB 1,352,895
nginx-access.v6.gz 5.6MB 44MB 1,499,909

Format de sortie

...
deny 203.0.113.1 ;
deny 2001:0db8:85a3::8a2e:0370:7334;
...

7. Raw IPv4/IPv6 denylists

Liste de refus en texte brut contenant les adresses IPv4/IPv6 à bloquer. Il peut être utilisé dans la configuration d'un serveur web ou d'un pare-feu. La denylist contient les IoC actifs la veille de l'exportation.

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
deny-ips.v4.gz 3.1MB 13MB 929,017
deny-ips.v6.gz 3.4MB 19MB 933,565

Format de sortie

...
203.0.113.1
2001:0db8:85a3::8a2e:0370:7334
...

8. Raw domain denylist

Fichier texte contenant les domaines à bloquer. Il peut être utilisé dans la configuration d'un serveur web ou d'un pare-feu. La denylist contient les IoC actifs la veille de l'exportation.

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
deny-domains.gz 32MB 159MB 6,813,347

Format de sortie

...
exemple.com
exemple.org
...

9. Raw CIDR denylist

Une liste de dénomination en texte brut contenant des plages d'adresses IP en notation CIDR à bloquer. Elle peut être utilisée dans la configuration d'un serveur web ou d'un pare-feu. La liste contient tous les IoC actifs des dernières 24 heures.

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
deny-cidrs.v4.gz 4.6MB 23MB 1,352,895
deny-cidrs.v6.gz 5.5MB 36MB 1,499,909

Format de sortie

...
deny 1.0.0.0/32 ;
deny 1.0.1.21/32 ;
...

10. Plages malveillantes IPv4/IPv6 dans les flux de données de la notation CIDR

Une liste de dénomination en texte brut contenant des plages d'adresses IP en notation CIDR à bloquer. Elle peut être utilisée dans la configuration d'un serveur web ou d'un pare-feu.

Taille moyenne des fichiers

Filename suffix Taille moyenne du fichier gzippé Taille moyenne des fichiers non compressés Records
malicious-cidrs.v4.csv.gz 9.5MB 64MB 1,853,752
malicious-cidrs.v4.jsonl.gz 11MB 133MB 1,853,752
malicious-cidrs.v6.csv.gz 11MB 83MB 2,000,874
malicious-cidrs.v6.jsonl.gz 12MB 158MB 2,000,874

Format de sortie

cidr,threatType,firstSeen,lastSeen
1.0.0.0/32,attaque,1678412656
1.0.1.21/32,attack,1678360646
...

Paramètres de sortie

cidr
IoC : IPv4 et IPv6 gammes dans la notation CIDR . Le flux IPv6 contient également des gammes IPv4 représentées dans la notation IPv6 .
threatType
Type de menace associé à l'objet de contrôle interne. L'un des éléments suivants : attack, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
UNIX date à laquelle l'activité a été détectée pour la première fois.
lastSeen
UNIX date à laquelle l'activité a été détectée la dernière fois.

Téléchargement via HTTPS

Téléchargement via FTP

  • Host : datafeeds.whoisxmlapi.com
  • Port : 21210
  • Username: 'user'
  • Mot de passe : égal à votre clé API personnelle que vous pouvez obtenir sur la page Mes produits.
  • Base path :ftp://datafeeds.whoisxmlapi.com:21210
  • Folder : Threat_Intelligence_Data_Feeds (en anglais)

Téléchargement via FTPS

Pour en savoir plus sur la connexion FTPS : https://en.wikipedia.org/wiki/FTPS.

Notre serveur FTP prend en charge le cryptage explicite FTP sur TLS. Vous pouvez configurer votre client FTP pour qu'il utilise le cryptage explicite FTP sur TLS pour sécuriser les communications.

Notre serveur FTPS est accessible en utilisant les mêmes chemins et clés API qu'un serveur FTP classique, dont les instructions sont décrites ci-dessus. Pour vous connecter via FTPS, sélectionnez l'option "Require explicit FTP over TLS" (Exiger un protocole FTP explicite sur TLS) dans votre client FTP, s'il la prend en charge. Exemple de configuration de FileZilla :

cryptage explicite de FTP sur TLS