SIP攻击很常见，特别是各大云服务器，基本上开了个公网IP绑定到实例机器就会被外国IP一遍怼。防范也容易，就是把外国IP禁掉。
实现：iptables+ipset，只允许中国IP访问本机，也就实现了封禁国外IP的效果。
优点：匹配迅速，免去iptables单链匹配。

操作步骤：

1.安装ipset 以及iptabls

#安装ipset：
RedHat：yum install ipset
Debian：apt-get install ipset
#建表
ipset create china hash:net hashsize 10000 maxelem 1000000
#批量增加中国IP到ipset的china表
#以下内容保存成脚本执行即可
#!/bin/bash
rm -f cn.zone
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
for i in `cat cn.zone`
do
    ipset add china $i 
done