Тут дело не в том ,что я не разобрался в теме ),а просто идея возникла ,проверил такое правило
iptables -A HTTP -m string --string 'POST' --algo kmp -j DROP ,вроде работает,на сайт заходит ,а при регистрации блочит,так как запрос идет POST . сервер у меня 2 x Intel Xeon E5630 8 c/ 16 t 2.53 GHz+ 192 GB ECC 2 x 600 GB SAS , держит атаку в 5000 ботов спокойно , это порядком 5-8MPPS ,фильтрую на входе iptables . Послушаюсь вашего совета) , но если есть идеи по поводу ,что можно сделать еще для увеличения безопасности сервера и защиты от DDoS , можем с вами связаться ,за работу заплачу деньги . Спасибо вам за ответы и советы)!