nginxによるDDoSの緩和/防止

（「重複している」問題を回避するには：多くのリクエストが表示されません。数はかなり少ないです。代わりに、各リクエストが大量のデータをダウンロードします。）

私が話しているサーバーは、40 GBit /秒のバックエンドで、2x10 GBit /秒のインターネット接続を備えています。 DebianStableシステムでnginx/vsftpd/rsyncdを使用して、約20テラバイトのデータを公開します。さらに、Apache2は一部の非静的コンテンツを提供するために使用されますが、これは無視できます。

ハードウェアは、最大18 GBit /秒（1回の観測で）まで十分に機能し、トラフィックは無料です。サーバーはオープンソースソフトウェアや他の公開ソフトウェアのミラーであるため、ダウンタイムが重大な問題になるという問題もありません。

ただし、サーバーへの影響を停止したいDDoS攻撃の特定のパターンを観察しました。攻撃が進行中の場合は常に、DebianのDVD ISOのほとんど（約300ギガバイト、RAMに収まるものよりはるかに多い）が複数のホストによってダウンロードされ、ファイルごとのダウンロードが繰り返されます。攻撃がどの程度組織化されているかに応じて、これにより帯域幅が大幅に増加し、もちろんハードウェアにいくらかのストレスがかかり、同時にサーバーの正当なユーザーのエクスペリエンスが制限されます。

これらの攻撃では、通常2〜3のネットワークが攻撃で調整され、それぞれが説明されているようにファイルをダウンロードします。ほとんどの場合、ワンクリックホスティング業者または何らかのファイルキャッシュが悪用され、だまされて同じファイルを繰り返しダウンロードします。これは、攻撃の一部として複数の異なるファイルをダウンロードするように自動化されています。

特定のIP範囲を自動禁止するようにnginxを構成する方法はありますか？または、これらのネットワークのトラフィックレートを、たとえば1 GBit /秒に制限しますか（しばらくの間）？

高速転送（ミラーからミラーへの可能性が高い）の場合でもサーバーを実際に使用する必要があるため、一般的な制限を課したくありません。

発言として、巧妙な攻撃者は、動機が何であれ、HTTPの代わりにFTP/RSYNCを悪用し始め、この質問が生み出す可能性のある解決策を回避する可能性があります。

現在、DDoS攻撃が行われていることに気付いたときは、ログファイルをスキャンし、悪用しているネットワークを特定して、手動で禁止します。