Saldırı muhtemelen iframe saldırısı olabilir.

Ancak refer yok demen bu fikri öldürüyor gibi..

sunucuda ip_conntrack varsa

tail -f /proc/net/ip_conntrack

komudu ile gelen isteklerin hepsinin paket büyüklüğünün aynı olup olmadıgını kontrol etmeni öneriyorum..

400 paket ethernet kartının kaldırabileceği bir sayı

paketlerin tamamı aynı ise cat ile süzerek tam ip listesi alıp anlık iptables vasıtası ile bloklayabilirsin..