Сколько в среднем обычный пользователь делает запросов к сайту в секунду?

открой консоль браузер и посмотри сколько там сделано запросов к твоему серверу (стили, картинки и прочее), умножить на 3-5 и это будет вполне безопасный лимит для людей. Не забыв всех нужных ботов (поисковых и прочих) внести в белый список, чтоб им не попадал этот лимит.

Если уж и пользуетесь этим то ставьте значения повыше. Например, Количество запросов - 50, Максимальный размер всплеска - 200. И обязательно как Mik Foxi сказал, добавьте IP-адреса поисковых ботов (Яндекс, Гугл) в белый список, иначе они не смогут нормально сканировать сайт

Что-то только сейчас подумал, что, навряд ли кто-то из живых пользователей делает да даже 20 запросов к html странице в секунду, по сути это нужно двадцать раз обновить страницу, я тут где-то в интернете нашел что даже просто нажать на мышке кликов в секунду не более 16 типа того:

Что-то даже не помню себя, чтобы нужно было обновить страницу в 20 раз за клик, получив к ней доступ, может только в детстве в сайтах для взрослых, и когда очень хотелось, чтобы обновилась страница, да и то точно не с такой скоростью :-)

Думаю, это скорее про конкретную страницу или ресурс — все-таки речь про DDoS. Обычный юзер редко превышает пару запросов в секунду. А 25 — это по безопасности, чтобы не тормозить хороших людей.

Я на этом сайте https://clickspeedtester.com больше 6 кликов в секунду сделать не смог, видимо кто делает больше уже не люди :), ну и F5 я протестил на клавиатуре тоже где-то 7 раз в секунду, короче даже 25 это овер дофига это уже не люди )

От ДДОС эта свистоперделка вообще никак не поможет. Чисто порадоваться что "защита" есть, до первой атаки.

Да, но в ошибках сервера есть предупреждения о блокировки, значит кто-то пытается, значит что-то блокируется, да и как я понимаю это не стоит ничего.

Именно к ДДОС атакам это отношения не имеет, чисто маркетинговый заезд по ушам. Когда сайт ляжет, вам скажут в техподдержке, что это для определенного вида L4 атак только, очень редкого. А вас положили по L7, так что мол идите подключайте нормальный антиддос, а то вырубим вам хостинг.

Срабатывает только если какой-то супер навал будет с одного айпишника, парсинг какой, сканирование криво настроенное, чего при полноценной атаке не бывает. 
Если оно там выдает вам какую-то статистику, напишите сюда на какие айпи сработало, пробьем что за они.

Да там каждый день эти сообщения - 2025/11/03 06:23:19 [warn] 2074151#2065146: *12050321 delaying request, excess: 1.450, by zone …

Потому что ограничение слишком жёсткое. Вам нужно учитывать, что этот модуль в nginx считает все запросы к серверу (то, что пишется в лог). Соответственно, каждая картинка, css-файл, js-файл, ajax-запросы - все это отдельный запрос. Вам правильно посоветовали в инструментах разработчика посмотреть вкладку "Сеть" (Network), и узнать, сколько запросов отправляется к серверу на самых нагруженных страницах (конкретно к вашему хосту, всякие метрики, аналитики и рекламы - можно не учитывать). В любом случае, 25 - это очень мало, из-за чего много запросов уходят в delay. Ну и от ddos это не спасёт, а вот проблем пользователям доставит. Люди могут открыть несколько вкладок сайта через ctrl, соответственно страницы будут грузиться в несколько потоков. При превышении размера всплеска - человек получит бан на 5 минут