Я пробовал разные варианты, и в итоге одну из задач по защите от DDoS решал через специализированные сервисы, у которых в профиле есть детальные настройки фильтров. Например тут есть защита от ddos . Можно посмотреть, что предлагается по уровням контроля и алгоритмам фильтрации. Для меня важно было, чтобы не только стандартные SYN‑флуды отсеивались, но и более сложные паттерны запросов.