Петр в наше время все эти "олдскульные тулзы" отбиваются чаще всего на уровеня рутеров даже или в крайнем случае на уровне ядра, если есть широкий канал.
А когда сыпется 500 мбит/с легитимных запросов на http сервер !ожидающих ответа!, понимающих куки и в последнее время яваскрипт. Это Вам не deny udp from any to me 80 или drop на киске.
Я для отбивания этих ботов писал специальную программу, которая составляла карту посещений "пользователя" и учитывала, что он делает, за какой период, определяла сёрч-бот он или нет (самое сложное и опасное, для разглашения) и тогда уже блокировала его, если он ей не нравился, к сожалению, для нее надо много костылей. Но с ддосом до 900 мбит/с я не видел с ней проблем (на той же машине, хотел 10 гбит/с ставить, т.к. программа без проблем справлялась), хотя твикать постоянно приходится.

С UDP на DNS одна борьба пока что (кроме блока), атаку на DNS сервер левыми UPDATE UDP запросами, через TCPdump вычислил самый частые IP сбором статистики за минуту, а потом позвонил апстриму - Globalcrossing, через час атака уменьшилась в 10 раз (с ~110 до 13 мбит, что практически не заметно для сервера).

Я таких ботов в целях эксперимента решил капчей отвадить
Так они стали капчу пробивать, вероятно через antigate

В нашем случае капча была не вариант, да и подумали, что смогут индусам и китайцам на аутсурс автоматом слать.

Вот именно, атаки на канал нет смысла отбивать на уровне жертвы. Надо иметь нормальные связи с апстримами, чтобы они могли оперативно реагировать на Ваши обращения.

И потом 5 лет назад я проводил небольшое исследование зависимости нагрузки на сервер от кол-ва ipfw правил (не ipfw2, без таблиц) и кол-ва пакетов в секунду.
Получилось что при трафике 3000-5000 пак/сек получалось что сервер по нагрузке нормально держит около 1000 правил ipfw, а если больше, то сервер загибается от большого кол-ва правил. Сысоев например не рекомендует вообще использовать пакетные фильтры на загруженном сервере, т.к. цена обработки пакета для системы получается очень дорогой. В качестве альтернативы Сысосев предлагает использовать таблицу маршрутизации.

Да, можно route blackhole делать, но это не так же четко как срывать UDP only.
Пользовались ipfw2 на FreeBSD 8.0 (с SMP поддержкой сетевух) на свободном 8ми ядерном ксеоне от Sun. Справлялся.

Ddos могут позволить не многие, очень дорогое удовольствие, так что не пздите!

Щас стоит бояться не столь атаки, сколько того, что просто канал по ширине забивают. Юзайте qrator за 16к 1гбит трафа (белого) фильтруют. Прекрасно справляются. А если самим, то покупать надо циски, джуники и делать комплекс на клаудах. ЧТо выйдет куда дороже чем те же 16к за гбит белого фильтра.