a livello di richieste http.
di GET PHP
di sync flood.
di... boh...

spesso un attacco dos semplicemente non si può bloccare del tutto, e se ben condotto son dolori.
in azienda il sistemista, in un caso di tentativi di brute force sulla pagina login PHP del nostro sito aziendale, brutalmente ha messo un .htaccess per far inserire nome utente e password, per ridurre gli effettivi rallentamenti (non eliminarli, ridurli).