在Debian系统中，使用iptables来防止DDoS攻击可以通过配置防火墙规则来实现。以下是一些常见的DDoS防御措施：

限制连接数：你可以使用iptables的connlimit模块来限制每个IP地址的最大连接数。

iptables -A INPUT -p tcp --dport <port> -m state --state NEW -m recent --setiptables -A INPUT -p tcp --dport <port> -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP

这里，<port>是你想要保护的服务端口，--set表示开始一个新的连接计数器，--update表示更新现有的连接计数器，--seconds 60表示每60秒检查一次，--hitcount 5表示在60秒内允许5个新连接，超过这个数量则丢弃连接。

限制速率：使用iptables的iprate模块来限制每个IP地址的速率。

iptables -A INPUT -p tcp --dport <port> -m limit --limit 1/second --limit-burst 5 -j ACCEPTiptables -A INPUT -p tcp --dport <port> -j DROP

这里，--limit 1/second表示每秒允许1个连接，--limit-burst 5表示在突发情况下允许最多5个连接。

使用防火墙过滤规则：你可以添加更复杂的过滤规则来阻止特定的IP地址或IP段。

iptables -A INPUT -s <source_ip> -j DROPiptables -A INPUT -s <source_range> -j DROP

这里，<source_ip>和<source_range>是你想要阻止的IP地址或IP段。

使用iptables链：你可以创建自定义链来处理特定的流量。

iptables -N DDoS_FILTERiptables -A DDoS_FILTER -p tcp --dport <port> -m state --state NEW -m recent --setiptables -A DDoS_FILTER -p tcp --dport <port> -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROPiptables -A INPUT -p tcp --dport <port> -j DDoS_FILTER

这里，DDoS_FILTER是一个自定义链，用于处理DDoS攻击流量。

使用iptables模块：你可以使用iptables的tcpflags模块来阻止特定TCP标志的流量。

iptables -A INPUT -p tcp --dport <port> -m tcpflags --tcpflags SYN,ACK,RST,FIN -j DROP

这里，SYN,ACK,RST,FIN是你要阻止的TCP标志。

请注意，这些方法只是基本的DDoS防御措施，实际应用中可能需要更复杂的配置和策略。如果你需要更高级的DDoS防护，建议使用专业的DDoS防护服务。