Если будет "качественный" ДДоС, то никак не защитить, а мелочь в 20-30 мегабит разруливается через iptables, но помнится (пару лет назад было), при атаке свыше сотни мегабит, уже ничего кроме куратора (аниддос сервиса) не помогало :) В итоге отбили тогда ДДоС в несколько гигабит (если память не подводит), а dns у провайдера держали, который сам свои проблемы решает :).