Belki saldırı oluyordur. Ancak yinede sizin ddos koruma scriptiniz, gösterdiğiniz banlanmış örneklere bakarak değerlendirince, uygun yapılandırılmamış gibi.
150 bağlantıya kadar normal kullanıcıları, 180 bağlantıya kadar joomla adminlerini banladığı tecrübe ile sabit.

netstat -an | grep ":80 "| awk '{print $5}'|cut -d":" -f1 | sort |uniq -c | sort -nr | head -20 | grep -v -E "127.0.0.1|0.0.0.0"

Bu durumu gözleyebilirsiniz. Talep edilen her sayfa tek bağlantı değildir. Sayfayı oluşturan her bileşen (örneğin resim) için yeni bir bağlantı oluşturulduğunu değerlendirmek lazım diye düşünüyorum.