Блокировка SYN flood по логам Nginx

При наличии атаки SYN flood на сервер, которую можно обнаружить с помощтю команды:

netstat -atun | grep SYN

заблокировать IP ботов можно анализируя логи Nginx:

cat /var/log/nginx/access.log | grep -E -e 'HTTP/1.(0|1)" (400|403|405|499|503)' -e '] "-" 400 0 "-" "-"' | awk '{print $1}' | sort -n | uniq -c | awk '{if($1>10)print $2}' | while read IP
do
    iptables -I INPUT -s $IP -j DROP
done

После можно провести ротацию логов (или просто очистить), чтобы не проводить повторнуюблокировку тех же IP.

logrotate -f /etc/logrotate.d/nginx

Это самое примитивное решение, но работает