Bence direkt engel yerine şöyle kural girin. ASN ttnet Vodafone turknet vs. değilse google doğrulama çıkarın. Bu şekilde türk olmayan ip ler hetzner gibi komple engellenmez sadece doğrulamadan geçer. Eğer saldırılar tr den tr ip ve asn den geliyorsa boyutu çok fazla olamaz tr botnet toplanması uzun sürer ve çok abartı şekilde toplanmaz. Bunun içinde bir kaç tane sunucuyu load balance ile çalıştırın saldırıyı tutmaya yetecektir. Alt yapı olarak ngnix olmalı ve load balance yi ngnix ile yapın. En azından cloudflare gibi üzerinde belli rate limit vs kullanabilirsiniz. DDoS saldırılarında en iyi performansı ngnix verir ki cloudflare sucuri vb. tüm sistemlerin alt yapısı ngnix