Владимир

Крупные сервисы ддос защиты типа cloudflare имеют свои белые, серыe и черные списки сетей и тд, поэтому если после первого провайдера ддос защиты будет второй то он не сможет эффективно работать, так как будет видеть только конекты от второго провайдера. (это если вы их последовательно хотите соединить)

Про тариф защищает хорошо от грубых атак, от апликейшон левел - как повезет, а вобще этот тариф не только дает лучший ДДоС протекшон, но и много тонких настроек которых в бесплатном плане нет - настройки кеширования, проксирования, редиректы и куча прочего, также настройки ддос защиты, показывания капчи и тд.

Если сильно обощать ддосы бывают двух видов -
1 атака на канал вам просто забивают трафиком под завязку сетевой интерфейс вашего сервера и он не может общатся с клиентами, это на стороне самого сервера никак не решается - только внешние решения типа клаудфлары.
2 атака на приложение и сопутствующий софт, заваливают медленными коннтектами вебсервер пока не заокнчится лимит, ищут тяжолые дейсвия с базой на вашем сайте(поиск например) чтобы потом кучей запросов нагрузить базу и сервис начнет тупить, и так далее. Основные приемы борьбы - знать паттерн обычного пользвателя, и настроить необходимые лимиты чуть выше чем надо обычному юзеру) в фаерволе или фронтенд проксе (например haproxy)

Очень похоже на application level DDoS. Хостинг провайдер обычно защищает от грубых атак типа DNS amplification и тд, вас же сайт скорее всего досят более тонко - нашли самые тяжелые страницы и постоянно их запрашивают.
Изучите какие процессы грузят ЦПУ ? если nginx/php/mysql установите и используйте nginxtop и анализируйте access логи nginx на предмет паразитной активности,
Обязательно настройте мониторинг трафика, цпу, озу, и тд .

Еще изучите вывод netstat - сделайте выборку по портам 80 и 443 (если используется) и посмотрите возможно большинство запросов идут с небольшой группы ип адресов - заблокируйте их в iptables и посмотрите на результат.