WAF tarafına biraz daha ağırlık vermenizi öneririm.
Eğer CF kullanımı yapıyorsanız çoğu isteği sunucuya gelmeden engellemeniz daha iyi olacaktır.
Hetznerden genelde ddos ile ilgili mail geliyor ama baktığımdada portmapper diyor portmapperda kapalı
Sunucu tarafına gelen istek görünmüyor genelde botlar dolaşıyor sitelerde ziyaretçi yok hepsi google + yandex + semrush gibi botlar
Bence başka bir şey var Benim serverlar %10nun üzerine çıkmıyor tabi seninkinden büyük server ama projelerde php değil Django o kadar site var tüm botlar geliyor sorunsuz ve çok Şükür herhangi bir sorun yok
Botları cf'den engellemem gerekiyor ama yaklaşık 1000 tane domain var çoğunun cf erişimi yok toplu olarak işlem yapmam lazım sanırım.
Normal şartlardada dakikada 1k - 1.5k google bot dolaşırdı ama bu kadar ngnix işlem yükü binmezdi
Sunucuda yüke binicek bir dosyada yok