O verniz IIRC usa threads para lidar com conexões e é configurado com um limite. Assim, tudo que um invasor precisa fazer é abrir, digamos, 200 conexões ao cache para bloquear todos os segmentos (veja também slowloris ). Por outro lado, o nginx (que será executado como um proxy reverso de armazenamento em cache ) é um servidor baseado em eventos; a mudança de contexto é impulsionada pela demanda - ela é limitada apenas pelo número de soquetes que ela pode ter aberta e, portanto, é muito, MUITO mais resistente a esses ataques.
(o verniz ainda é melhor do que o pré-fork ou mesmo o apache do trabalhador ao girar as solicitações sem uma grande pegada por requisição, portanto você verá muitas pessoas falando sobre usá-lo para mitigar tais ataques DOS).
Você pode fazer algumas coisas para mitigar os ataques DOS na camada de rede usando iptables e / ou roteamento baseado em QOS , mas eu recomendo começar usando nginx como proxy.