Aqui estão algumas opções:
Você pode TCPDump o tráfego e talvez encontrar um pacote que é a seqüência do pacote de ddos e bloqueá-lo?
Com toda a honestidade, a única maneira que isso provavelmente será consertável é pedir ao ISP para verificar e encontrar o agressor.