а как планируете удалять из А-записей выключенные/недоступные станции?
А вообще, ничего нового, так и работают многие системы-сервисы защиты от ДДоС, только не на десктопах, а по нескольким датацентрам в разных странах размазаны точки входа (размазывают либо средствами BGP, либо DNS, либо и тем и другим вместе), далее очищенный трафик передается защищаемому серверу либо внутри GRE-туннеля, либо проксируется. В итоге ботнет не знает айпи сервера, а только айпи антиддосеров.