Ip блокнул через штатный firewall, порт тоже открыт только для локальной сети.Таким образом атаку на сервис вы исключили. Остаётся атака на канал. От DDoS на канал в принципе невозможно защититься локально, для этого пользуются услугами (платными) компаний с офигенно большой пропускной способностью. В лёгких случаях можно попросить родного провайдера (наверное, тоже не бесплатно). Но мне здесь видится другое:
Порядка 500 в секунду.даже при блокировании все эти 500 событий в секунду пишутся в лог. Как вы думаете, запись в лог отнимает ресурсы сервера? У вас сервер только и занят этим процессом записи в лог.
Как бороться с подобным?У вас Windows Server, как говорят в народе, выставлен голой задницей в интернет? Такие вещи нужно блокировать на внешнем (по отношению к серверу) firewall'е. Даже роутер-мыльница лучше, чем совсем ничего, вот там и надо блокировать трафик, чтобы на сервере этих событий вообще не было.