Viva,
Segundo o que testei até agora, o melhor mecanismo de protecção contra qualquer flood de requests ao apache é a opção PORTFLOOD da CSF. Este sistema utiliza o módulo ipt_recent para manter o registo das últimas ligações feitas ao servidor e sempre que haja mais de X ligações de um endereço de IP nos últimos Y segundos, este sistema simplesmente ignora novas ligações desse endereço de IP. A grande inovação deste sistema é que tudo é feito em tempo real, sem haver qualquer delay ou sobrecarga causada pela análise constante das ligações ao servidor.
Por exemplo, com uma configuração "80;tcp;20;2", sempre que são detectadas mais de 20 ligações TCP em simultâneo à porta 80 do servidor nos últimos 2 segundos todas as futuras ligações desse IP à porta 80 são ignoradas.
Estava a receber vários ataques semelhantes nos meus servidores, com floods de header requests ao apache e desde que configurei esta opção nunca mais tive problemas.
Cumprimentos.