Nella maggior parte dei casi, è molto difficile mitigare gli attacchi DDoS da soli. La maggior parte delle banche e delle grandi aziende si avvale del servizio di fornitori di servizi di mitigazione DDoS professionali. Quest'ultimo rileverà i modelli di traffico anomalo e reindirizzerà tutto il traffico verso i loro centri di lavaggio per filtrare il cattivo traffico. I seguenti meccanismi basati sul filtraggio sono comunemente usati per mitigare tali attacchi:
1) Autorizzazione degli indirizzi IP riconosciuti. Ad esempio, se la tua azienda si trova negli Stati Uniti e la maggior parte dei tuoi clienti si trova, allora potrebbe essere ragionevole filtrare il traffico di rete proveniente da altre parti del mondo durante un attacco in modo che la maggior parte dei tuoi clienti possa ancora essere in grado di accedi al tuo servizio.
2) Blacklisting del traffico proveniente da regioni conosciute di "spammer".
3) Implementa un meccanismo di challenge progressivo come il CAPTCHA per dimostrare che il traffico proviene da una fonte umana e non da un programma.
4) Limitazione della velocità per indirizzo IP di destinazione. Ogni indirizzo IP è autorizzato a inviare un numero fisso di richieste e il resto delle richieste verrà semplicemente eliminato.
5) Rilevamento dell'anomalia basato sulla firma e successivo blocco IP. Anche se i pacchetti maligni sembrano normali, potrebbero ancora esistere modelli distinti nel traffico generale. ad esempio, un utente medio invierà il traffico solo ininterrottamente per 5 minuti ogni giorno, ma il traffico inviato dall'attaccante continuerà ad arrivare per lunghi periodi di tempo.
Infine, aumentare le risorse della rete per sopravvivere all'attacco o affittare temporaneamente risorse extra basate sul cloud per "assorbire" l'attacco. Tale contromisura viene utilizzata dai fornitori di servizi di mitigazione DDoS come Incapsula, Akamai e Verisign per evitare che diventino vittime.