A resposta curta é "até parar".
Afaik, não há boas estatísticas sobre médias e intensidades - a maioria dos ataques não é divulgada publicamente. Como muitos já mencionaram o seu melhor, e provavelmente apenas, apostar é ter uma discussão franca com seu ISP e confiar em seu conhecimento e experiência.
Normalmente, dependendo das ferramentas disponíveis e das habilidades dos administradores, você terá várias compensações entre a acessibilidade do site e a eficiência na filtragem do DDoS, que tenderá a funcionar bem o suficiente.
Se esse tipo de ataque acontecer com você frequentemente ou durar mais que alguns dias, talvez valha a pena investir em um provedor melhor equipado, ou, se você for alto o suficiente para ser responsável por seu próprio DDoS proteção, investindo em melhores ferramentas de segurança e pessoas.