Если настроить защиту в proxy или load balancer не вариант по каким то причинам, придется делать это в node.js
Я использую пакет
rate-limiter-flexible
Позволяет ограничивать трафик, настроить дополнительные правила, а также у него есть стратегии блокировки и страховки, если у вас node.js запущен в кластере или на нескольких серверах
