На своем опыте я отбивал довольно много ddos атак, скажу сразу - блокировать ip адреса ручками я отказался сразу. Итак, то что вспомню прямо сейчас отпишу сюда :

Для апача ставим - mod_evasive, конфигурируем - если уж ручками то он нам поможет + он умеет сразу же добавлять запись в фаерволл ( я тестировал с iptables ) или уже выдавать ответ средствами apache - можно указать свой вариант ( 404, 500 и т.д. ). В установке и настройки довольно прост.


Если у вас *nix очень важно используя тюнинг ядра системы включить SYN cookies и работать с SYN соединениями только через SYN cookies.



Обязательное требование firewall, в котором закрыто все кроме того, что нам на самом деле нужно. Всем известная рекомендация. Кроме того без этого Вам не заблокировать полностью явного нарушителя.


Далее, смотрим почаще текущие соединения в удобном для глаз виде следующей командой :

netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n

В apache KeepAlive -> Off - сразу заметите прирост скорости работы.

Это вот, что сейчас помню про веб сервер.

Довольно простые и общие рекомендации по защите, но именно они и выручают.

netstat -atn | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n выявляем нарушителей.