Para o que você está descrevendo, "migração de cadeia" é quase certamente a Solução Errada - você realmente deseja aplicar proteção contra DDoS em toda a sua rede, não apenas um host / conjunto específico de IPs .
Mais geralmente, como eu disse no meu comentário, o Jails não "migra" da maneira que você está descrevendo. Algumas pessoas fizeram coisas criativas com geom_mirror e ggated , mas isso é mais failover do que em -a migração, e eu descreveria o processo como "incômodo" na melhor das hipóteses.
Migrações em tempo real de máquinas virtuais em execução (prontas ou automáticas para balanceamento de recursos) são realmente melhores para sistemas hipervisor verdadeiros como VMWare e Hyper-V (Linux KVM pode estar chegando lá, e um dia pode ser um projeto que o FreeBSD Pessoas de cadeia aceitam, mas as cadeias são realmente projetadas para serem isolamento de processo / sistema - um chroot em esteróides - em vez de uma VM que você pode pegar e mover de host para host.A migração é uma daquelas coisas que exige muito esforço de programação).
Algumas coisas que eu sei que você não pode fazer são usar um "IP curinga" - os endereços IP são atribuídos ao sistema host subjacente e à cadeia, então a migração exige que você mova os endereços IP. Você poderia usar o DNS para fazer a transição (executando uma cópia protegida e desprotegida da cadeia e usando técnicas semelhantes àquelas no link que descrevi), mas isso é garantido para ter algum tempo de cruzamento (pelo menos o TTL do registro), e basicamente está pedindo para você duplicar seu hardware & Compromisso de espaço IP - provavelmente não é viável, a menos que você invista muito mais pelo privilégio de ter este serviço (e se você for fazer isso e só puder fornecer proteção contra DDoS para uma parte de sua infraestrutura, você também pode cobrar das pessoas muito mais para estar nos sistemas protegidos por DDoS em tempo integral - é uma dor de cabeça administrativa muito menor).