Недавненько снова победил 25-мегабитный DDOS.
Как обычно все просто:
1. установлен nginx
2. подключен geo-ip модуль
3. ngrep-ом отфильтрован входящий трафик на 80-ом порту по шаблонам
4. все выловленные IP ботов составлены в список удовлетворяющий требованиям geo-ip модуля nginx
5. в конфиге nginx данный списочек перенаправляем куда-нибудь далеко и надолго
6. подключение списка и рестарт web-сервиса
7. как результат получим более-менее чистый трафик, а большинство ботов пошлем погулять, разгрузится сервер и так далее…