Muchos operadores (la mayoría, espero) usan conexiones de red de puerta trasera, como un módem a través de un servidor de terminal en el sitio. Hay muchas variaciones en este tema, pero esa es la forma más fácil de hacerlo, y tiene la ventaja de darle acceso a su red si hay un problema de red o hardware que afecte su conectividad.
Otra opción es trabajar con su ISP para cerrar todo el tráfico, excepto el tráfico proveniente de su red o dirección IP particular; eso es un cambio simple, y la mayoría de los ISP de nivel 1 podrán ayudarlo con esto en circunstancias de emergencia.
También hay servicios de limpieza comercial como el producto de prevención DDoS de Verisign que puede desviar todo el tráfico, eliminar el tráfico DDoS en particular y enviar el resultado a su red. Esto se puede hacer a través de DNS o (mejor) BGP.
Finalmente, no todos los ataques DDoS son solo paquetes de paquetes. Si está siendo atacado con algo como un ataque de agotamiento de recursos SSL o uno de un grupo de ataques de alto nivel similares, su conexión SSH en su servidor web puede seguir funcionando bien. Por otra parte, puede que no, si es ese servidor el que está sobrecargado y está funcionando al 100% de la CPU. Una solución a este problema es obtener un dispositivo de descarga SSL y colocarlo frente a su servidor (es). La planificación de un sitio de alta disponibilidad como este requiere cierta reflexión, pero definitivamente obtendrá mejores resultados.