Depende de la infraestructura que tengan (1), del tamaño del ataque (2) y de si tienen gente capaz de detener un ataque (3). En mi experiencia, lo que les suele fallar es en el tercer punto la gran mayoría de casos.
Pagar por tener alguien capaz es caro y siempre puedes contratarlo cuando realmente lo necesites, aunque por ello tardarás un poco más en encontrarlo (esos 2 días, por ej.) y si tardas lo suficiente, los atacantes pueden cansarse y dejar de hacerlo o quien les paga por hacerlo decida no invertir más (en los foros BH he visto que es bastante cara la tarifa diaria).
Lo normal cuando hay un ataque DDoS en los hosting que he visto (de mis clientes), es bloquear directamente a a web a la que se lo hacen (en caso de que se vea que es a una web específica y no directamente a la IP del server).
A finales del año pasado, tuve un cliente al que lo banearon y le hicieron reembolso directamente: Según el soporte del hosting (que por cierto, al analizarlo vi que era un reseller), el ataque era desde muchísimos servidores y no podían banear todas las IPs que lo atacaban. Mi cliente aceptó esa explicación porque justamente se fue de un VPS a ese hosting porque allí decían tener anti-DDoS (una mentira de las que sueltan junto con cosas como "somos el mejor hosting" y similares).
Cuando me tocó a mi configurarle el server, solo encontré 15 IPs que lo atacaban y no las encontré manualmente, manualmente solo detecté que tipo de ataque les estaban haciendo, luego puse un filtro en fail2ban que ya tenía de antes, ya que ese mismo ataque me lo habían hecho a mi en outcontrol.net (mi web) a una escala mayor.
El ataque era en efecto bastante fuerte, porque aprovechaba cierto bug de wordpress (aún activo y reportado), no era extraño que pudiera saturar un dedicado fácilmente con esas 15 IPs, pero igual era sencillo detenerlo con solo poner un filtro que baneara a todas las IPs que ejecutaran el exploit.
kj
