É difícil "proteger" contra ataques DDoS, mas é possível mitigá-los evitando cálculos desnecessários e dispendiosos.
O fail2ban pode limitar o número de tentativas que cada participante no ataque DDoS pode fazer. Depois de entrar na lista negra, as tentativas serão bloqueadas antes de iniciar qualquer criptografia onerosa. Em vez de permitir que seu servidor SSH realize cálculos inúteis, o firewall aplicará regras simples para rejeitar clientes. Os clientes ainda usarão sua largura de banda de rede e um pouco de tempo de CPU, mas muito menos do que o servidor SSH.