El problema con algún tipo de ataque DDoS no es lo que sucede con el tráfico. El problema es la existencia del propio tráfico en el enlace. En algún momento, su enlace estará demasiado lleno para que su enrutador pueda manejar las solicitudes (eliminación o enrutamiento nulo). Verás, no importa lo que haga el servidor / enrutador / firewall, la manguera está demasiado congestionada.
Usted se defiende contra este tipo de DDoS ya sea por tener más enlaces de los que pueden llenar sus atacantes (utilizando grandes proveedores de servicios como CloudFlare o Akamai, ellos toman el golpe por usted) o simplemente interrumpen su conexión / servidor.