Você pode fazer 3 coisas.
1) Cada servidor pode ser endurecido. Por exemplo, ssh - use chaves, desative a autenticação por senha. Sua pergunta não foi exatamente sobre como endurecer cada servidor, então não vou entrar em mais detalhes, mas verifique isso.
Incluído neste seria mod evasive , apparmor e possivelmente mod_security.
2) Pessoalmente eu uso o iptables. Você não pode impedir completamente que um DDOS se importe com você.
link
O truque com iptables é ajustá-lo ao seu servidor, minhas regras podem não funcionar para você, você pode precisar ser mais liberal ou rigoroso, mas deve começar.
Para ssh eu uso essas regras iptables para limitar a taxa.
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m tcp -m state --state NEW -m recent --set --name SSH --rsource
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
3) Para monitorar o tráfego de rede eu recomendo strongmente snort, especialmente em um servidor ocupado. O Snort irá alertá-lo sobre o tráfego que você precisa analisar.
Em poucas palavras, você pode ver psad e fwsnort. Eu tenho um tutorial sobre aqueles no meu site também.