Предполагаю, что лимитирование пакетов не поможет.
Скорее всего, главное это содержимое пакета, а не темп поступления.
Подобные примеры известны для других типов CS
Значит -
1. Например, коммандой tcpdump -i ppp0 -s0 -w /tmp/DDOS src 8.6.223.13 and port ntp
пишем пакеты вызывающие DOS, в файл /tmp/DDOS
2. Таким-же образом, собираем нормальные пакеты.
3. Анализируем содержимое пакетов тем-же tcpdump или графическим, например wireshark.
Наверняка, пакеты вызывающие DOS, имеют какое-то ключевое отличие.
( какая-то последовательность или даже один байт, в определённой позиции будет присутствовать в DOS пакете и отсутствовать в нормальном пакете )
4. При помощи фильтра iptables (например u32) режем пакеты, по найденному ключевому признаку.
Овладев подобной техникой, вы самостоятельно сможете защитить свой сервер от атак подобного типа.
В общем "учиться, учиться и ещё раз учиться" и "Никто не даст нам избавленья, Ни Бог, ни царь и не герой"