Как защитить от ddos по tcp/udp?

От DDoS в принципе защититься нельзя. Были случаи, когда бот-атака просто валила магистральный канал вместе с целой страной, в которой располагалось оборудование сервиса защиты от DDoS'а, пытающегося прикрыть атакуемого клиента. Можно защитится только DoS'а определённого уровня. И тут встаёт вопрос профессионализма ваших админов, которые будут быстро находить действенные решения в момент каждой отдельной атаки и вашей готовности вложить деньги в оборудование, способное справляться с нагрузками. Как показывает опыт, дешевле получается арендовать эту услугу у специализированных сервисов.

Без вышестоящего провайдера всё равно не обойтись.

Объясню почему: допустим, ваш умный файрвол DDoS обнаружил, левый трафик зарезал, и до серверов он не дошёл.
Но канал-то всё равно забит с той стороны!
Нужен какой-то способ сообщить провайдеру "Вот этих ко мне не пускай, режь прямо у себя!"

Как вариант автоматизации этого, предлагаю глянуть в сторону BGP Flowspec.
Учитывая, что BGP Flowspec может быть поднят и между операторами связи, появляется возможность задушить DoS на межоператорских стыках, а то и прямо у источника.

отбить маленький ddos своими силами без покупки дорого ПО и железа или аренде, других услуг.

https://www.cloudflare.com/ - этого достаточно будет для начала

Как защитить свои сервера от от элементарных ddos атак по tcp/udp?

Смотря какой они интенсивности. Если атака на канал или на протокол, то сетевые фильтры ОС не помогут.

Есть ли бесплатные решения для защиты своими средствами без привлечения посторонних организаций?

Был во последнем релизе FreeBSD какой-то инструмент для борьбы с этой напастью. Только этот способ особенно бесплатным не назовёшь: нужно покупать дополнительно сервера, настраивать ПО, поддерживать.

Как защитить от ddos по tcp/udp?

Есть Cloudflare с интересными предложениями и самой распределённой системой фильтрации.

Самое простое это менять адрес. И сообщать этот адрес клиентам. Не факт что атакующая система узнает адрес из того же источника что и клиенты.

qrator и тому подобные сервисы

Кроме смены адреса и работы с оператором можно настроить на своем сервере систему обнаружения атак и сканирования портов (snrot, psad, ...), с тем что бы по данным системы обновлять правила фаервола - это позволит вашему серверу дольше продержаться, а вам вовремя обнаружить атаку и что-нибудь предпринять (например сменить адрес).