A atenuação de ataques DDoS é Difícil (e cara).
Existem empresas para as quais você pode pagar, que lhe fornecerão uma caixa que você coloca em seu datacenter, que faz a filtragem de pacotes, mas está imune a ser inundada pela rede. Essas coisas são fornecidas por provedores de firewall high-end, como redes Arbor, etc. Eu não sei como essas coisas funcionam. Aparentemente eles fazem, mas como sempre, YMMV.
Também há serviços de mitigação de DDoS como serviço (se isso fizer sentido). Você recebe uma ferramenta de mitigação de DDoS, fornecida em um Pay As You Go (embora, na verdade, seja mais como um contrato mensal de taxa fixa). Você rotear todo o seu tráfego através do serviço hospedado, e eles fornecem um "canal limpo" que foi filtrado por seu cluster de hardware caro.
A maneira lenta / antiga de fazer isso é trabalhar com seu provedor de upstream para direcionar nulo o tráfego de DDoS antes que ele atinja seus servidores.
Eu proponho que você pesquise alguns serviços de mitigação de DDOS, eu dei a você um ponto de partida na Arbor, que faz as opções hospedadas e IaaS, chama alguns vendedores, passa pelo discurso de pré-venda e os deixa lutar entre si para o seu costume.
Existem alguns pontos de partida razoáveis no artigo da Wikipédia . Praticamente todos os fornecedores de firewall high-end em que consigo pensar têm seu próprio sabor de solução.