nginx лучше всего справляется с ddos, но при атак более 100 000 pps сервер не будет успевать банить адреса и он будет перегружен в следствии чего ресурс будет недоступен. И при таких атаках нужно пускать трафик домена через А-запись на IP защищенного прокси сервера по типу
Simply Proxy 