En este foro, en la sección de documentacion...

Intentando detener un DDoS <- click

A ver si es eso, y si no entonces de igual forma te servira de algo

 que tal.

 En realidad, un D.o.S casi siempre es posible, y si utiliza una Botnet dirijida al
 puerto 80 de tu Server, ya puede ser Apache o Zeus o ( .. ) que el DoS ( o en el
 kaso de la Botnet D.D.o.S ) sera en gran medida exitoso.

 Puedes hacer varias kosas:

 - Primero, mira a ver si es verdad, y tienes que actualizar algun script o el propio
   server.

 - Tambien prueba a ver si se trata desde una sola IP ( D.o.S ), y pon una ACL
    en tu firewall ( o llama a tu ISP ) para Denegar el acceso a dicha IP.
    Pon a rular ( en el server ) un Sniffer ( tcpdump, ethereal .. )y mira.

 - Si proviene de multiples IPs ( D.D.o.S ) mira a ver el source port de las IPs,
    y si el source port es el mismo ( por ejemplo el 80 ) capalo.
    Si son varios sources ports, si se tratan de puertos < 1024 y no esperas kone-
    xiones de ningun servicio a tu puerto 80, capa la entrada desde puertos
    en ese rango ( ..1024 ).

 Hay mas kosas que puedes hacer. Sigue ese preciado link komo gran consejo.

 Suerte. Saludos.

 ### MODIFIKO ###

 Apache.. *NIX.. mira a ver que tengas syn_cookies activo!
 esta bajo /proc ( ahora estoy en windoze ). Prueba:
  $ find /proc |grep "syn_cookies"

 Pero kreo que esta bajo:
 /proc/sys/net/ipv4/tcp_syncookies

 hazlo mo¡ejor via /etc/sysctl.conf. O sea, añade la linea: ( algo asi )
 .net.ipv4.tcp_syncookies = 1

 Esto de la tcp syn_cookies fue el modo de *NIX de intentar remodelar la pila
 TCP/IP para acabar kon atakes tipo SYN FLOOD y demas.