нда мало кто понимает архитектуру стека tcp/ip
ставим любой фаервол и огрничиваем колво соединений с единичного ип адреса
(если в качестве моего любимого фв используется PF так там ещё проще используем таблицы)
cat /etc/pf.conf
ext_if="em0"

table <ddos> persist
block in log quick from <ddos>

pass in on $ext_if proto tcp to $ext_if \
port www flags S/SA keep state \
( max-src-conn-rate 100/5, overload <ddos> flush)
А всех кто попал к нам в блек лист можем посмотреть вот так:
pfctl -t ddos -T show
А удалить вот так
pfctl -t ddos -T flush
А для удобства я кинул в крон вот такую строчку
чтобы каждых 20 минут само чистило
*/20 * * * * root pfctl -t ddos -T flush