¿La calma antes de la tempestad?

Parece que la cosa se ha calmado. La solución ¿temporal? ha sido realmente sencilla:
En esa máquina hay asignadas 6 IPs, y no se usan todas. La IP de TodoJuegos.com no estaba siendo atacada ayer, sólo las 2 asignadas a los "dominios fantasma" que registraron hace unos días.

Todas las IPs están asignadas a interfaces de red virtuales, todas colgando de eth0 (esa máquina sólo tiene dos interfaces de red "hardware"). En cuanto tiramos los eth0:1 y eth0:2 todo se calmó. En realidad a la subred seguían llegando paquetes a saco como confirmó nuestro hosting, pero luego nunca llegaban a la máquina al ignorarlas las interfaces de red. Desde ese momento la web volvió a funcionar a pleno rendimiento, el tráfico normal del web más las decenas de miles de peticiones rechazadas al segundo no eran suficientes para saturar (ni de lejos) la subred interna de Layeredtech (el hosting) o los interfaces base 100 de los switches de los que cuelga nuestra máquina (maravillas de la ciencia oiga...) .
Viendo los gráficos de uso de red se aprecia que tras 4 horas de intentos futiles la cosa paró por completo, no se si por ser lo programado, lo "contratado" o por estar reconfigurando el botnet para atacar a otra de nuestras IPs o otro pobre incauto.

Más tarde os pongo un resumen de medidas y por qué sin un firewall hardware NO se puede hacer nada por parar un ataque de un botnet, leáis lo que leáis por esos mundos de Dios lo que se hace es paliativo y en la mayoría de los casos el remedio es peor que la enfermedad, sobre todo si el objetivo es tirar la máquina.