e pq assim, pra se fazer o ataque precisa de alguma falha no servidor pra permitir tal requisições, por exemplo vamos supor que vc tenha uma falha onde coloca a senha e essa falha consiste em permitir caracteres ilimitados, logo para relizar o ataque sera usado senhas gigantescas de varios locais certo, isso vai ser um peso imenso para o servidor pra pegar essa hash, pra parar nesse caso seria colocar um limite de caracteres, mas no geral quando e um ataque ddos (que vem de uma botnet ou algo do tipo) é mt dificil parar diretamente sem ser arrumando a falha, talvez possa indentificar um padrão, exemplo: a botnet e feita de smart tvs android, ai vc bloqueia todas as requisições que venha de tal sistema (ja que normalmente o servidor tem acesso a algumas informações) e foi só um exemplo besta msm
tem mais casos, normalmente alguns ips de botnets são conhecidos e existem softwares que bloqueiam automaticamente esses ips
mas tudo depende muito