Ich hatte schon nen ähnlichen angriff und die lösung kann ich dir gerne weitergeben.
1. UDP filtern, falls nicht gebraucht
2. herrausfinden in welchen ranges die bots liegen um ihre herkunft zu bestimmen
3. ranges bannen
4. die bot herkunft mit der herkunft der kunden vergleichen. zielt ihr nur auf deutsche ab könnt ihr ja das ganze ausland droppen
4.1 um den traffic zu verringern gibt es noch nen geodns mod für bind und andere nameserver, damit kann man asien, amerika usw. direkt auf localhost zurückleiten und man hat ganz ruhe vor denen
man sollte zu 4. noch sagen das es eher ne experimentelle emthode ist, aber enorm wirkungsvoll wenn es geht.