Você pode fazer algo melhor com o iptables. link
Minha sugestão seria parar de responder (por tempo X) a qualquer endereço IP de origem que faça mais do que uma solicitação X em um período de tempo X. O que você precisará para definir o X dependerá do ataque DDOS. Você quer bloquear os invasores, mas não o tráfego normal.