На своем опыте я отбивал довольно много ddos атак, скажу сразу - блокировать ip адреса ручками я отказался сразу. Итак, то что вспомню прямо сейчас отпишу сюда :
Для апача ставим - mod_evasive, конфигурируем - если уж ручками то он нам поможет + он умеет сразу же добавлять запись в фаерволл ( я тестировал с iptables ) или уже выдавать ответ средствами apache - можно указать свой вариант ( 404, 500 и т.д. ). В установке и настройки довольно прост.
Если у вас *nix очень важно используя тюнинг ядра системы включить SYN cookies и работать с SYN соединениями только через SYN cookies.
Обязательное требование firewall, в котором закрыто все кроме того, что нам на самом деле нужно. Всем известная рекомендация. Кроме того без этого Вам не заблокировать полностью явного нарушителя.
Далее, смотрим почаще текущие соединения в удобном для глаз виде следующей командой :
PHP код:
netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n
В apache KeepAlive -> Off - сразу заметите прирост скорости работы.
Это вот, что сейчас помню про веб сервер.
Довольно простые и общие рекомендации по защите, но именно они и выручают.