Кто заказывает DDoS?

Тоже капчка вылезла))

Наверное я бот, а не "легетимный пользователь" 🫠

Сидя на серче,искать клиентов,и не добавить серч в вайт лист - мда))

При чем здесь блок всего рунета и моя скромная персона? Твой чудо сайт не открывается нормально, там дурацкая капча тупик.

И ты здесь поучаешь спецов что и как нужно делать ..

Да. Ходить через впн, и при этом орать что не подозрительный - это сильно.

Я сейчас в тае, люди с ВПН теперь подозрительные? Все понятно) дальше общаться не вижу смысла.

Отлично, сосредоточьтесь лучше на ледибоях.

Как я и говорил выше, именно с ДДОС мало кто сталкивается, абсолютное большинство - с поведенческими ботами. Например, возьмем Хетцнер. На нем есть ботофермы, достают своей накруткой поведенческих слишком многих.
На сайт набежали боты из Германии, начинают изучать логи сервера - а там сплошные айпи хетцнера. Смотрят что еще с него навалилось, выпадают в осадок. Ставят на капчу хетцнер. 
А потом покупают впн, лезут через хетцнер и делают круглые глаза, а что случилось, почему меня по впн проверяет при переходе с форума. И начинают из себя мать Терезу изображать, руки картинно заламывать.

Есть еще более отбитые, ставят на тот же хетцнер блок в htaccess, и потом радуются своему чистому трафику, причем без клауда, и, цитирую, "дурацких капчей". А впнщики при этом крутят у виска, перебирая в уме набор ненормативной лексики в отношении таких деятелей.

Должна быть золотая середина. И легитимного посетителя пропустить, даже скрывающего свое реальное расположение, и не пустить ту массу парсеров сканеров поисковиков уязвимостей, и прочего нежелательного, что приходит через эту же инфраструктуру, что и впн.

PS
Что касается ДДоС, наслать на сайт 50  тыс запросов всякого разного, это не ддос, а больше какой-то юношеский максимализмопук. Такое сразу зафильтровывается при наличии защиты. ДДоС - это когда 50-100 млн сразу засылается. Либо к миллиарду. Тогда есть шанс, что какая-то часть пройдет через фильтры и своей массой приглушит сервак. Но здесь уже вопрос цены, не для для мамкиных ддосеров.

Надо разделять свою ЦА, если у вас много впнщиков то наверное это так, но в России это достаточно небольшой процент, плюс тебе в рунете каждый 3й сайт показывает или капчу или блочит. Нормальные впнщики заворачивают впн себе только те ресурсы которые не работают без впн

оказывается если в ispmanager нажать на "Сайт" то там есть галочка "Включить защиту от DDos" вставляешь минимальное значение и работай как небывало!

Почему блин я узнал это только сейчас! и то случайно! Этих спецов-админов как не спросишь что делать с нагрузкой начинают нести бред про "подсети, nginx, logi.... " особенно бесят когда дают совет типа "выполните запрос в SSH такой-то ......" они пробовали сами как в Windows SSH работает то?!

Короче пробуйте в панели как блокируются боты.

Потому что владельцы сайтов как-то пытаются фильтровать свой трафик, в меру своих умений и понимания. Иначе в метрику без слез не глянешь. Посетителей реальных на сайте 3 калеки, а в метрике тысячи, а то и десятки тысяч по прямым заходам щемятся. И хостер грозные письма шлет про нагрузку.

Вы со своими минимальными значениями на страницу сайта наподобие каталога, категории зайдите, с большим количеством запросов к изображениям и всякому разному. Вот удивитесь.
Эта настройка - это блокировать айпи, если с него в определенный период приходит столько запросов сколько вы там указали. Аналог fail2ban на сервере.
При банальном шастании по сайту создается пачка отдельных запросов к стилям, картинкам, скриптам и проч. Так что смотрите аккуратнее, не забаньте сами себя.