>>センセイへ

1)アクセスログ見て、IPアドレス順にログをsortしてみる
2)おおまかなIPアドレス帯域に区分してみる(大まかに言ってISP別に区分)
3)区分したグループのIPアドレス帯域に限って、ntpdへのリクエストパケットを廃棄してみる
 →数を限定されているため、再送によるトラフィック増も限定的になるでしょう
4)同じ1つのIPアドレス帯域グループでのアクセス制限は、1ヶ月ぐらい継続して行う
 →1ヶ月ぐらいNTP同期されなくて、時計が狂うのにユーザが気づいて、サーバを振り替えてくれる事を期待してみる
5)同じ1つのIPアドレス帯域グループのアクセス制限の継続期間は、そのグループからのntpdへのリクエストパケットの期間内を通しての低減の仕方で判断する。
6)1つのIPアドレス帯域グループに関して見切りを付けたら、別のグループについて3)からループして実行。以下同

こんなもんでどうでしょ?