A única coisa que você pode realmente fazer se alguém está tentando executar um ataque de negação de serviço em você é o que você já está fazendo (bloqueando endereços IP). Qualquer outra coisa pode atenuar o problema (algo como uma maneira melhor de lidar com solicitações SYN ACK), mas não irá resolvê-lo.
Só porque você está sendo atacado não significa que você está infectado. Na verdade, como esse é um ataque do DOS, o objetivo principal é desativá-lo / torná-lo não responsivo ao tráfego legítimo, não infectá-lo com um vírus (embora seja possível usar um ataque do DOS como uma distração, se o DOS ataque for bem-sucedido, a capacidade de resposta do vírus também diminuirá com o servidor).
Bloquear 100 endereços IP por si só não é uma coisa terrível, contanto que eles estejam realmente tentando o DOS. Caso contrário, você está apenas bloqueando as pessoas que desejam acessar seu site.