به جای این که سرور رو درگیر بررسی آی پی ها , استفاده از geo برای تشخیص کشور آی پی مبدا و دیگر موارد کنید چرا از blackhole route استفاده نمیکنید ؟ خیلی ساده نتیجه درخواست روت رو میفرسته تو blackhole و ریکوئست حداقل فشار رو برروی سرور اصلی ایجاد میکنه .
با این تنظیمات شما بیشترین میزان مصرف منابع رو در اختیار lfd و chain های مربوط به csf میزارید که در زمان حمله باعث مصرف بیش از حد میشه و عملا خود lfd یا csf باعث کندی میشن .
البته روش دوست عزیزی که گفتن reflect کنیم درخواست ها رو من میپسندم . اما باید توسط یک واسطه انجام بشه . مثلا یک routing os ساده مثل ipcop یا میکروتیک این کارو انجام بده نه سرور اصلی .
به هر حال این روزهای بلاک کردن حملات ddos و حتی بعضا dos های سنگین هزینه های زیادی داره که دلیلش نبود که راهکار مشخص جهت دفع اونهاست .