https://sanctum.geek.nz/presentations/self-hosting-self-defense.pdf Держит банальный cgit, а трафика на сотни гигабайт в месяц. Он смог определить, что TLS client signature у всех плохих запросов один и тот же, поэтому можно блокировать только по анализу TLS.