Можно-ли защититься от DDoS без сторонних сервисов?

Hashicorp consul. Настраиваете health check и вперёд. Есть ещё вариант с haproxy. Да хватает способов. Только если проекты серьезные то все это полумеры. Дороже будет настроить и изучить самостоятельно чем использовать, например, WAF + Cloudfront в aws

Зависит от типа DDOS.

• Если идет атака на отказ сервера - можно. Оптимизируете софт, ставите более мощное железо, фильтруете "плохие" запросы, и.т.д.
  
• Если идет атака на отказ сети - нельзя. Канал тупо забивается, и происходит это вне вашей зоны ответственности.
  

От 300 000 запросов в час защититься легко. Почитайте здесь - ДДос атака на nginx пакетами 1 байт?

1. Идеальное решение, взять 3 VPS и настроить Nginx балансировщик между VPS, цена вопроса составит порядка 1000р/мес.
2. Выбирать VPS с широким каналом 200-300Мбит (хотя по сути хватит и 100, если у Вас оптимизирован сайт), один VPS (резервный) можно разместить за границей.
3. Настроить защиту: если сайт для России, то IP-адреса с других стран можно заблокировать, сделать защиту от хотлинков, настроить fail2ban, настроить iptables,...

Как итог, получить защиту от 3 000 000 запросов в час минимум.

Проверить тестами сколько сейчас запросов может обработать Ваш сервер, может он уже при 20 запросах в секунду задыхается.
ИМХО нормально если сейчас обрабатывает хотя бы 50 в секунду.

И самое главное отказаться от Apache ))
А если у Вас еще и просто дешевый хостинг, тогда для начала просто взять VPS.
Или перейти на web хостинг с дорогим тарифом (с DDoS защитой), но это решение хуже VPS и дороже.

от серьезных разве что железкой на свиче