GET флуд

много ip делают по 1-5 конектов тем самым нагружают CPU и оперативку под потолок

Ты не видел hi-load. А 1k rps не хочешь? Вот это нагружает, а твои 1-5 курам на смех.

ничего не понял

Это значит, что проблема у тебя скорее всего не в количестве GET-запросов.

Что за железо? Может у тебя там Pentium I вместо сервера? :-)

У меня есть сайт где в среднем 14 запросов в секунду - никто в потолок не уходит(да и с чего бы?).

Чем не устраивает limit_req в nginx?

Ещё, как вариант (то, что хочет ТС, но что не имеет смысла):

if ($http_user_agent = "") { return 403; }

nginx ставить и перенастраивать проблематично, софт настроен под работу apache, поэтому ищу более простой способ рубонуть соенинения которые не имеют юзер агента. В iptables вроде можно только если укажешь юзер агент, но как быть если он пустой как показано в логе выше?

У меня как-то малюсенькая vps ~140 rps выдержала. ;) Она не была на это расчитана, но выдержала.

Let me google that for you: http://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

тоже vps 4 ядра E5620 @ 2.40GHz, 2.5GB оперативки, но в момент атаки, оперативка закладывается под потолок и все ядра аналогично.

Вполне может имет смысл пре-подключить nginx перед apache, как прокси и для отдачи статики.

Проблема с apache в том, что он может не больше чем 255 коннектов одновременно (hardcoded value). Nginx же менее рессурсоёмкий и более «умный». С большой вероятностью ты сможешь так в несколько раз снизить нагрузку на apache и не заморачиваться больше «пустыми коннектами».

Это apache из-за своих архитектурных особеностей

посредством iptables можно пакеты без юзер агента отсеивать?

iptables — это в первую очередь L3/4. Что бы фильтровать им L7, нужен уже DPI — а это в разы накладней, чем любые другие решения.

И да, и нет.
Если боты присылают заголовок с пустым значением, то отловить легко. Если они вообще его не присылают, то, по нагрузке на cpu будет, пофигу кто фильтрует, Apache или дикая регулярка в iptables.
Тупо посмотри откуда запросы, если из стран где у тебя клиентов быть не может, то блочь их сегментами по инфе их whois. Обычно строк 20 помогает на долго.

да так можно и наблочить что и ботов гуглы и яндекса закрыть) cloudflare вроде умеет проверять юзер агента, видел на некоторых сайтах. Может там можно отрезать такие запросы?

что и ботов гуглы

Это те ещё досеры, их - можно. :-)

Я уж думал, что не осталось людей, которые используют чисто апач.

И через двадцать лет пердуны будут его использовать.

А его можно использовать. На бэкенде. Нет?!

CDN должен уметь себя защищать.
В whois есть данные о владельце адреса.
Пример тебе.

Проблема с apache в том, что он может не больше чем 255 коннектов одновременно (hardcoded value).

Што.
Всё прекрасно настраивается, man MaxClients. Там разве что дефолтное значение 256, но никто не мешает поменять.
А с worker mpm у меня апач проксировал и по тысяче одновременных соединений, правда на синтетических тестах.

тоже vps 4 ядра E5620 @ 2.40GHz, 2.5GB оперативки, но в момент атаки, оперативка закладывается под потолок и все ядра аналогично.

Скорее всего плохо настроил апач и нету кэширования (хоть оно в httpd и паршивое).
Какой mpm используется? Если апач так себя ведёт на такой слабенькой нагрузке, то тут или prefork стоит, или веб-приложение делает что-то лютое.

mpm_prefork_module (static) вот этот стоит, ставлю mpm_worker_module апач перестает работать.

Похапе?

prefork

Ну тогда понятно, чего идёт нагрузка.

апач перестает работать.

А если с логами?