Дописал свои программки, прочекал кучу логов, выяснил среднее количество обращений в секунду на один IP и на основе этих данных настроил программу-блокировщик. Читает лог nginx, считает обращения в секунду и записывает в ipset всех, у кого обращений больше определенного значения. Производительность, конечно, у с++ чумовая, лог атаки в 400 мегов (это час дудоса) программа парсит за 6 секунд (вместе с добавлением в ipset и записью собственного лога). Теперь ждем, когда мамкины хакеры соберут деньги на новую атаку