Mi aspetto che qualsiasi servizio di protezione DDoS decente (Prolexic, CloudFlare, ecc.) faccia esattamente quello che suggerisci.
Se si considera una presenza Web di base, in cui il sito ha una larghezza di banda limitata per Internet, una lista nera in loco non aiuta. Tutto il traffico NTP saturerà il collegamento, quindi non importa che il firewall sul sito riduca immediatamente il traffico, ma interferisce ancora con utenti legittimi. Ecco perché è necessario il filtraggio upstream per mitigare un attacco DDoS.