>Как лучше блокировать хосты атакующих ?
>
>1. iptables -A INPUT -p ALL -s IP -j DROP
>2. iptables -A INPUT -p ALL -s IP -j REJECT
>3. route add ip reject
"лучше" для чего? смотря что вы хотите сделать.
например /etc/hosts.deny
с iptables  обычно DROP иногда REJECT --reject-with tcp-reset (или иной)
ну или MIRROR если канал позволяет :)
имхо грамотнее IDS + сброс/лог/оброботка/<по вкусу> соединений по видам атак