En la mayoría de los casos, es muy difícil mitigar los ataques DDoS por tu cuenta. La mayoría de los bancos y grandes compañías contratarán el servicio de proveedores profesionales de servicios de mitigación DDoS. Este último detectará patrones de tráfico anómalos y redireccionará todo el tráfico a sus centros de depuración para filtrar el mal tráfico. Los siguientes mecanismos basados en el filtrado se utilizan comúnmente para mitigar dichos ataques:
1) Lista blanca de direcciones IP reconocidas. por ejemplo, si su empresa está ubicada en los Estados Unidos y la mayoría de sus clientes están localizados, entonces podría ser razonable filtrar el tráfico de nuestra red que proviene de otras partes del mundo durante un ataque para que la mayoría de sus clientes aún puedan accede a tu servicio.
2) Tráfico de listas negras provenientes de regiones conocidas como "spammer".
3) Implemente un mecanismo de desafío progresivo como CAPTCHA para probar que el tráfico provino de una fuente humana y no de algún programa.
4) Limitación de velocidad por dirección IP de destino. Cada dirección IP solo puede enviar un número fijo de solicitudes y el resto de las solicitudes simplemente se eliminarán.
5) Detección de anomalías basada en firmas y posterior bloqueo de IP. Incluso si los paquetes maliciosos parecen normales, podrían existir distintos patrones en el tráfico general. por ejemplo, un usuario promedio solo enviará tráfico continuamente durante 5 minutos cada día, pero el tráfico enviado por el atacante seguirá llegando durante largos períodos de tiempo.
Y finalmente, aumente los recursos de su red para sobrevivir al ataque o alquile temporalmente recursos adicionales en la nube para "absorber" el ataque. Dichos proveedores de servicios de mitigación DDoS, como Incapsula, Akamai y Verisign, utilizan esta medida de contador para evitar que se conviertan en víctimas.