SIP攻击很常见,特别是各大云服务器,基本上开了个公网IP绑定到实例机器就会被外国IP一遍怼。
防范也容易,就是把外国IP禁掉。
实现:iptables+ipset,只允许中国IP访问本机,也就实现了封禁国外IP的效果。
优点:匹配迅速,免去iptables单链匹配。
具体操作如下:
#安装ipset:
RedHat:yum install ipset
Debian:apt-get install ipset
#以下内容保存成脚本执行即可
》》》》》》》》
#!/bin/bash
#建表
ipset create china hash:net hashsize 10000 maxelem 1000000
rm -f cn.zone
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
#批量增加中国IP到ipset的china表
for i in `cat cn.zone`
do
ipset add china $i
done
#ipset命令建表和插IP数据都是直接写内存,所以需要让内存的数据本地持久化且开机时重载回内存,各发行版的服务调用命令可能不太一样,这里用Redhat系列的命令
service ipset save
chkconfig ipset on
《《《《《《《《
ipset list china #查看一下
#iptables的filter表INPUT链根据需求加入相应的规则,以下是实例
#全部接受中国IP
-A INPUT -m set --match-set china src -j ACCEPT
#接受中国IP访问本机特定端口特定协议(例如5060UDP协议),freeswitch一