Saldırı muhtemelen iframe saldırısı olabilir.
Ancak refer yok demen bu fikri öldürüyor gibi..
sunucuda ip_conntrack varsa
tail -f /proc/net/ip_conntrack
komudu ile gelen isteklerin hepsinin paket büyüklüğünün aynı olup olmadıgını kontrol etmeni öneriyorum..
400 paket ethernet kartının kaldırabileceği bir sayı
paketlerin tamamı aynı ise cat ile süzerek tam ip listesi alıp anlık iptables vasıtası ile bloklayabilirsin..