Ok, então eu tenho um proxy reverso Nginx que está bloqueando este DDoS de Camada 7 de entrada.
O problema é que minha saída é massiva. A única suposição de que cheguei é que meu servidor está enviando os Certificados SSL para o ddoser?
Eu tenho isso configurado para dar erro 444 quando alguém está bloqueado por isso, em teoria, não deve enviar quaisquer dados e eu testei no meu navegador, alterando o meu agente de usuário e me deu um erro sem dados enviados então por que é minha saída no meu servidor tão alto?
o erro 444 é um erro de http.
Se o seu nginx estiver fazendo proxy reverso em um site https, não haverá http até que a camada TLS tenha sido configurada. Então o seu servidor estará respondendo ao pacote helo do cliente com o servidor helo contendo o certificado.
Você precisaria bloquear no nível de IP para evitar isso.