В обеих вариантах команды есть строка без ip адреса:
Подскажите, какие соединения относятся к ним?
TCP-соединение может быть только внешним? Скрипт Ddos-Deflate, описанный в этой статье
10serv.com/borba-s-ddos-atakoy-s-pomoshhyu-d-dos-d..., вообще не реагирует в момент резкого скачка нагрузки.
Опять же, это не "живой" трафик. Подобное случается даже по ночам, когда посетителей почти нет. Внешний пинг сервера запретил. В iptables ограничил количество TCP-соединений на 80 порт с одного ip до 15:
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable