A única proteção real de um DDoS pode ser feita na camada de rede, a montante do seu servidor. No momento em que o tráfego de DDoS atinge a NIC do seu servidor, ele já passou por várias partes do roteamento e switchgear provavelmente causando uma certa quantidade de confusão ao longo do caminho. Mesmo que você bloqueie no nível do firewall do host, o NIC e o kernel ainda precisarão examinar cada pacote que chega e, dependendo da natureza do ataque, eles podem não ter a obrigação de acompanhar a carga em comparação com o equipamento de roteamento upstream. isso seria fazer isso em hardware.