Firewall не поможет в таком случае.
Firewall - это защита уже на сервере. То есть пакеты пришли к тебе на VDS и уже там ты разбираешься, надо оно тебе или нет.
Хостер отключает, если нагрузка идет на канал до сервера. А фильтровать канал ДО сервера ты не сможешь никак - тебе просто не дадут доступа к оборудованию дата центра.
Какие есть решения в данной ситуации:
- Определить DDoS ли это или нормальная нагрузка.
Может быть проект вырос и пора переехать на Dedicated? Там и канал толще и запаса больше.
- Если это все же DDoS, уточняем у хостера есть ли у них в партнерах какая-нибудь фирма по защите от DDoS, обычно можно получить скидку. После этого В НАЧАЛЕ переносим сайты на другой VDS, говорим IP фирме по защите от DDoS и меняем записи в DNS как они скажут. Это нужно, чтобы атакующие не узнали наш новый IP.
