Se você quiser limitar os IPs de origem permitidos a um subconjunto conhecido, isso é ótimo do ponto de vista da proteção contra DDoS. O DDoS funciona saturando o tubo; Se você parar o tráfego ruim até a corrente (onde os canos não são infinitos, mas eles estão perto o suficiente para os nossos propósitos) você pode basicamente sobreviver a qualquer DDoS. O truque é fazer com que a lista de permissão / negação fique perto o suficiente do "núcleo" da Internet de que o tamanho do canal pelo qual o DDoS fluirá (até o ponto em que é descartado) é grande para lidar com isso.
O que você precisa fazer é especificar o volume máximo esperado de qualquer possível DDoS (em BPS e PPS) e conversar com os fornecedores para que eles saibam o que você precisa em termos de volume e capacidade de resposta. Certifique-se de que eles são capazes de aplicar sua lista negra imediatamente quando necessário. O recurso que você quer perguntar é comumente chamado de "roteamento de buraco negro em tempo real". Se você estiver executando o BGP de qualquer forma, é bastante trivial fazer isso (como discutido no link ). Se você não está executando o BGP, você precisa identificar com o (s) seu (s) provedor (es) o mecanismo pelo qual você pode iniciar o blackholing (se você tiver que chamar um NOC para colocá-lo no lugar, não se incomode - é trivialmente automatizável).
Teste esse recurso quando você começar a usar e teste-o periodicamente para garantir que ele ainda funcione. Você não quer ter que gritar com o seu provedor porque o blackholing parou de funcionar durante um grande DDoS.