Сергей

Любой контент, отданный пользователю, может быть сграблен. Ни практически, ни теоретически этого избежать не получится. Даже не трать силы/время/деньги на достижение недостижимого.
Он может поставить камеру и снимать экран.
Он может подключить устройство по USB и гнать изображение параллельно на соседнее устройство, где происходит запись.
Ты можешь как угодно пытаться контролировать его компьютер, но он запустит браузер в виртуалке, а на хостовом компе - OSB studio и будет писать все, что творится в виртуалке.
В этой вселенной на текущем уровне технического развития это абсолютно невозможно. 100500%

Ваш вопрос слишком охватывает слишком широкий круг атак, чтобы можно было ответить однозначно. Сначала изучите базу, а потом определитесь с конкретными видами атак. Защиту от каждой в отдельности уже и изучайте. В целом, от ДДОС защиты нет, может быть комплекс мер, уменьшающий риск от ДДОС-а. ДДОС-атаки могут быть разных видов.
1. Простое параллельное открытие десятков страниц с тысячи компов - вот уже ДДОС, направленный на веб сервисы. Спастись можно установкой ограничения на количество одновременно запрашиваемых страниц с одного адреса. Остальное резать файрволом. Можно расширить "ферму" серверов, балансируя нагрузку равномерно. Использовать кэширующие серверы.
2. Старейшая и классическая ДОС, расширенная до ДДОС: TCP SYN-ACK атака. Т.е. с каждого компьютера происходит запрос на открытие нового TCP-соединения, переполняя буферы операционной системы. Защита как в первом случае + система обнаружения вторжений помогут свести на нет всю атаку.
3. Самый обычный ICMP-флуд гораздо эффективнее и от него спастись гораздо сложнее. Адрес вашего сервиса находят с помощью запроса к ДНС. Потом по таблице маршрутизации пакеты идут к вашему провайдеру и далее к вашему компьютеру или сервису. Любой пришедший к вам пакет провайдер отсылает вам, а можете вы его переварить или нет - не его проблема. При наличии канала в 100Мбит/сек до провайдера, вдруг приходит поток ICMP ping пакетов объемом 400Мбит/сек. Маршрутизатор провайдера передает его вам. Все пакеты, которые не уместились в ширину канала, были отброшены. Все, ДДОС прошел. Ваши сервера могут иметь любые сервисы и службы для защиты от атак. Канал забит, значит хакер добился цели. Провайдер может обнаружить атаку и начать резать трафик к вам на своем уровне. Но ДДОС легко может забить и входящий канал провайдера. В таком случае нужно строить сложную схему с распределением нагрузки по серверам, наличие нескольких провайдеров, соглашение с ними о сервисе защиты от атак и т.д. Стоимость реализации такая, что ее могут себе позволить только компании-гиганты.

Видов ДДОС-атак может быть множество. Одни направлены на забивание канала, другие направлены на зависание операционной системы, третьи на неработоспособность сервисов. Защита от всех ДДОС-ов требует целого комплекса ОЧЕНЬ дорогостоящих мер, выделения большого количества оборудования, согласования совместных мер с провайдером.