Si dispones de alguna máquina con GNU+Linux y no tienes digamos una estructura de red que te permita filtrar el trafico bien, entonces iptables es tu amiga.
Desde luego que lo mismo tener un forti es mejor pero si no lo tienes puedes tirar como toda la vida de configurar bien iptables.
He dejado una recopilación de reglas que pueden ser de utilidad: git.56k.es/fanta/reglas-iptables/src/branch/master/ddos.txt
La forma de aplicarlas (de forma no permanente) puede ser tan sencilla como la siguiente:
# wget -q "http://git.56k.es/fanta/reglas-iptables/raw/branch/master/ddos.txt" -O - | sh
Y se pueden consultar luego con «iptables -L» así:
La mayoría de reglas están sacadas de la entrada de Diego Cordoba: juncotic.com/ddos-mitigando-denegacion-iptables/
Y eso es todo.
Saludos cordiales.