Úgy látom a címben DDoS-t említesz, de a topik nyitóban DoS-ról beszélsz. Vagy elgépelted, vagy nem látod hogy ez két különböző dolog, és mi a különbség.
Nem baj, csak akkor tisztázzuk:
- DoS : denial-of-service
- DDoS : Distributed Denial-of-Service
Az első jellemzően egy forrásból érkezik, fentebb említett módon: feltérképezett működés után "erőforráségető" kérések sokaságával fordulunk a szolgáltatáshoz. Viszonylag könnyű védekezni, mert bannolod az IP-t.
A második hasonló, de több forrásból érkezik. Jellemzően botneteket felhasználva. Itt kis session nyitásoki is elegek, mert milliószám képződhet kapcsolat. Mivel több IP-ről, több országból, és szolgáltatótól érkezik, nehezebb védekezni ellene. Leginkább az ISP képes rá. Jó esetben. Ha hajlandó is...
IP alapon saját OS-ben tartományokat, és országokat, vagy kontinenseket nagy tételben szűrni azért kockázatos, mert minden bejövő csomag végigmegy minden szabályon (ha tiltás alapon dolgozol), és bizony CPU-ból dől el, hogy kína,india,banglades,azerbajdzsán...stb -e, és kidobjuk, vagy beengedjük? Ezeken az ellenőrzéseken pedig azok a csomagok is végigmennek (CPU-t használva!), akiket végül beengedsz.
Persze lehet ezt okosabban csinálni, vagy hatékonyabban, de igazából ezt nem iptables/nft vonalon kellene kezelni.