Кто как блокирует целые страны (Китай, например)?

Вы сталкиваетесь не с тем, я уже говорил. Я сам с подобным сталкиваюсь первый раз за 15 лет. Все эти запросы к вордпрессовым страницам с попытками входа в админки - ерунда. Меня дрюкают совершенно иным способом.

Ога, он у меня на сервере тоже стоит. И используется по назначению - отпиныванию брутфорса. Против описанной мною атаки он бессилен. Вернее, вместе с адресами злоумышленника под раздачу попадёт и куча других адресов, потому что суть этой атаки не в куче запросов с кучи адресов. А единичных редких запросах с дикой кучи адресов.

Это ежу понятно, ну так и серверы нынче - не Pentium-166 MMX. Зато я точно знаю, что делает мой алгоритм. Он 100% выцепляет эту грязь, не трогая других посетителей и поисковых ботов.

Посмотрите на модифицированный ddos-deflate. Подробнее в сообщении:

/ru/forum/comment/16244211

Ее можно тонко настроить и проверить, будет ли она блокировать легитимных пользователей (по логам) выставив время бана например на 1 секунду. Также добавить поисковики в исключения по ip и hostname. Она висит в режиме демона и каждые 5 секунд блокирует нарушителей. Главное подобрать оптимальные параметры. Например 150 подключений с 1 ip.

Правда если вас атакует большой ботнет и делает очень мало запросов с каждого ip, то тут либо плагин test-cookie для nginx, либо блокировка по стране, либо фильтрация трафика через посредников.

В идеале снять нагрузку с бэкенда и притормозить их хотя бы на уровне nginx. Если они хоть как-то будут доходить до бэка, то сервер рано или поздно упадет

Telebird, подскажите пожалуйста, эта программа осуществляет блокировку в iptables? Или в ipset?

Она поддерживает блокировку по APF, CSF, ipfw, и iptables

То есть отфильтровывать трафик еще до попадания на сервер то же самое, что фильтровать на уровне движка? 🤪 Зачем?

Я не говорил, что то же самое.