Как обычно работает DDoS-защита
Сообщаем сторонней компании свой ip, она дает нам новый ip с защитой. ip с защитой становится нашим внешним адресом, пользователи обращаются на него. А на нем - умный прокси, который отфильтровывает "вредные" запросы и шлет на наш бэкэнд только "чистые".
Что может пойти не так
- если незащищенный ip оставить в сети, то атака может спокойно продолжиться на него. Решение - закрыть 80 порт для доступа извне. Но атака может продолжиться на другие порты.
- если бэкэнд переместить на новый "секретный" ip, то злоумышленник все равно может его узнать из почтового заголовка писем, которые рассылаются с этого сервера. Например из письма, получаемого при регистрации. Кроме того, через сайт
myip.msможно узнать историю изменений ip-адресов сайта. А еще можно черезshodanузнать, какие ip обслуживают один url.