http://megazubr.ru/blogwa/Borba-s-DDOS/
https://www.owasp.org/index.php?title=OWASP_HTTP_Post_Tool&diff=93971&oldid=prev
http://habrahabr.ru/post/116056/
http://blog.vpsville.ru/blog/pro/1.html
+
http://habrahabr.ru/post/84172/
#!/bin/bash
# chmod 755 anti_ddos.sh
# ./anti_ddos.sh
#find
cat /var/log/nginx/error.log | grep "limiting connections by zone" | grep "request: \"GET / HTTP/1.1"| awk '{print $12}'| awk -F"," '{print $1}'| sort | uniq -c | sort -nr > /tmp/botnet.blacklist
#/tmp/botnet.blacklist
# очищаем скрипт бана
cat /dev/null > /tmp/iptables_ban.sh
# создаем DROP правила для 50 самых агрессивных ботов
awk '{print "iptables -A INPUT -p tcp --dport 80 -s " $2 " -j DROP" }' /tmp/botnet.blacklist | head -n 50 >> /tmp/iptables_ban.sh
# загружаем blacklist
bash /tmp/iptables_ban.sh
# делаем ротацию лога
cat /dev/null > /var/log/nginx/error.log
[ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid`
*/5 * * * * /root/script/ban.sh
В результате iptables будет пополнятся новыми ботами.