.htaccess — блокирует атаку грубой силы, изменяя htaccess с помощью переполнения стека.

Да, есть возможность заблокировать IP. но пытаться остановить DDos-атаку таким способом бессмысленно, так как процесс apache уже запущен.

Deny from xx.xx.xx.xx

При блокировке IP-адреса вы обычно вводите правило в брандмауэр, чтобы заблокировать этот IP-адрес.

Я бы посоветовал вам взглянуть на модуль безопасности Apache

https://www.digitalocean.com/community/tutorials/how-to-set-up-mod_security-with-apache-on-debian-ubuntu

Также fail2ban — хороший способ остановить атаки грубой силы.

https://www.linode.com/docs/security/using-fail2ban-for-security