Предотвращение DDOS-атак (насколько это возможно)

В последнее время моя машина CENTOS подверглась множеству атак. Я запускаю MRTG, и график TCP-соединений вырастает как сумасшедший, когда происходит атака. Это приводит к тому, что машина становится недоступной.

Это моя текущая конфигурация /etc/sysctl.conf

# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.

# Controls IP packet forwarding
net.ipv4.ip_forward = 0

# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 1

# Controls whether core dumps will append the PID to the core filename
# Useful for debugging multi-threaded applications
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1

# Controls the maximum size of a message, in bytes
kernel.msgmnb = 65536

# Controls the default maxmimum size of a mesage queue
kernel.msgmax = 65536

# Controls the maximum shared segment size, in bytes
kernel.shmmax = 68719476736

# Controls the maximum number of shared memory segments, in pages
kernel.shmall = 4294967296


net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1280

Еще больше в моем файле Iptables (/ etc / sysconfig / iptables) у меня есть только эта настройка

# Generated by iptables-save v1.3.5 on Mon Feb 14 07:07:31 2011
*filter
:INPUT ACCEPT [1139630:287215872]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1222418:555508541]

Вместе с настройками, указанными выше, через файл iptables заблокировано около 800 IP-адресов такими строками, как:

-A INPUT -s 82.77.119.47 -j DROP

Все они были добавлены моим хостером, когда я раньше писал им по электронной почте об атаках.

Я не эксперт, но не уверен, что это идеально.

У меня вопрос: какие хорошие вещи можно добавить в файл iptables и, возможно, в другие файлы, которые усложнили бы злоумышленникам атаку на мою машину, не закрывая ни одного не атакующего пользователя.

Заранее спасибо!