Вариантов масса, но как правильно здесь говорят, надо только не сидеть сложа руки.
Вариант I (делаем за 1 час):1. На сайте Пегаса наверняка были счетчики посещений.
2. На сайте владельцев счетчиков в числе прочих обязательно есть "Статистика обращений по Хостам".
3. Берем список наиболее активных хостов за предыдущую "нормальную" неделю/месяц, тем самым фильтруем постоянных посетителей-ТА и отсекаем случайных баннерокликальщиков.
4. Анализируем и строим таблицу "дружественных" сетей и подсетей, откуда идет поток нормальных запросов.
5. Запихиваем это все в виде рулесов в циски/каталисты провайдера или в свои собственные.
6. Даже если в конфигах уместятся только первые 1024/2048 адресов, все равно это будут самые постоянные и полезные посетители-ТА.
Естественно, из найденных IP-пулов провайдеров будут работать в т.ч. и зомбированные ПК-флудеры, но все-равно масштаб атаки станет в сотни раз меньше, т.к. наверняка будет отсечена Европа, Африка, Лат.Америка и прочая левая туса, участвующая в данной массовке...
Вариант II (делаем за 1 день):1. Делаем почтовую рассылку по дружественным ТА и просим всех срочно выслать reply-ответ на специально выделенный POP3 сервер.
2. При этом просим слать письма с корпоративных почтовиков, а не с общедоступных WEB-ящиков.
3. На следующий день собираем и парсим логи smtp-соединений, выковыриваем "дружественные" IP и снова повторяем Вариант I начиная с п.4
Вариант III (правильный):1. Обращаемся к услугам спец. хостеров, заточенных на отражении DDos атак, например antiddoshost.ru и иже с ними, либо ищем международного хостера по строке поиска "ddos protection hosters"
2. Эти ребята должны знать и реализовать более продвинутые методы, чем тот примитив, который на скорую руку дал в вариантах I и II.
3. Платим деньги и несколько дней отсиживаемся за надежным прикрытием, пока не стихнет.