Hola.
No entiendo mucho de esto pero ,por si te sire de momento, con iptables puedes hacer alguna regla para bloquear ips si hacen demasiadas conexiones seguidas a un puerto. Eso si, hay que cuadrarlo bien sino bloquearias a usuarios legítimos.
iptables -I INPUT -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW -m recent --set --name DEFAULT --rsource
iptables -I INPUT -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP
En este caso si hace 4 peticiones en 3 minutos al puerto 21 bloquea la ip.
Suerte.
Recomiendo no llenar el post de soluciones sin saber por lo menos que tipo de ddos específico enfrenta o si aunque sea es realmente es un ddos... Dejen el tema para que algun asesor con experiencia contacte
De cierta forma estoy de acuerdo con engel lex, en el sentido de que siempre que se habla de ataques se recomienda el bloqueo por IPTables no evitarás que llegue al servidor y por ende el consumo del ancho de banda seguirá siendo afectado.
Cuando nos hablan de un ataque DDOS siempre se nos viene a la mente el una negación de servicios por consumo de ancho de banda o de recursos del equipo, pero hay muchos tipos de ataques DDOS.
En la parte que no estoy de acuerdo es dejar el tema hasta que algún asesor con experiencia contacte, porque puede presentarse un "asesor" que le de espejitos y Littl3 nos pudiera compartir lo que él a encontrado y/o lo que le dices los asesores tanto para nuestro conocimiento como poderlo ayudar con nuestras experiencias.