Столкнулся с проблемой. Не могу отсеч DDos атаки, злоумышленники не делают много запросов, с одного ip не более 10 соединений.
При подключении без взяких заголовков присылают \n\r , тем самым нагружают nginx worker. Ограничения по размеру запроса срабатывают видимо после обработки заголовка, а в этом случае заголовка нет, и так происходит пока по таймауту не отключается сокет.

Может быть есть какое-то ограничение по размеру считанных в данном соединении байт. Я не нашел такого параметра.