То, что сделано сейчас использует только 

limit_req_zone $binary_remote_addr

Это позволяет организовать защиту только от наглецов (тупоголовых партнеров магазинов, которые не используют приготовленное для них API, а парсят сайт; подонков, которые делают зеркало чужого сайта).

От реального DDoS это не защищает потому, что такие атаки распределенные (первая буква D в аббревиатуре, как раз, об этом). Здесь нужно пользоваться защитой на уровне виртуального сервера:

limit_req_zone $server_name

Вот это и защищает сервер (если на всех виртуальных серверах так сделано).

В давние времена защита по $binary_remote_addr делалась делась на уровне всего виртуального сервера (что мгновенно тратило установленные лимиты на запросы статических файлов и приводило к неоправданному увеличению лимитов). Сейчас это делается только для тяжелых запросов. Спасибо. Но это только первый шаг.