Вы не сказали, где находитесь в мире, но предполагаете, что где-то подпадают под GDPR (я думаю, что новые калифорнийские законы достаточно близки для такого уровня детализации).
Хотя IP-адреса могут рассматриваться как PII (личная информация), закон разрешает вам хранить их, если у вас есть веская причина для этого. Запись источника DDOS-атаки - уважительная причина. Особенно, если у вас есть разумная политика хранения данных, например вы будете хранить записи, скажем, 1 месяц и использовать их для фильтрации трафика, а затем через месяц вы удалите запись. Если вы используете такую систему, как, скажем, fail2ban в паре с autologrotate, все это можно автоматизировать, поэтому вам вообще не нужно вручную взаимодействовать с данными, если только не возникнет проблема.
Обеспечение доступа к данным только для тех
Я рекомендую вам найти настоящего юриста (а не какого-нибудь анонимного человека в Интернете), чтобы обсудить, какие варианты есть у вас в вашей конкретной юрисдикции.
Что вы хотите защитить?
Если во время DDOS сгенерировано достаточное количество трафика, вам нужно направить IP-адрес назначения по маршруту черной дыры. Исходный IP-адрес может быть подделан, и иногда лучшим решением является объявить через BGP об отбрасывании всех пакетов с целевым IP-адресом атакованного хоста.