Ежели коротко, то DDOS бывает двух видов. Первый - атака на конкретный сервис, например - на веб-сервер. При этом "кладется" именно веб-сервер при помощи кучи "мусорных" запросов. Совершенно не обязательно, что при этом будет забит канал - при такой атаке все остальное прекрасно работает.
В этом случае, конечно, блокировки IP (точнее, подсетей: это же DDOS; так что разных IP очень много) могут помочь.
Второй вариант - это когда просто "забивается" канал. Такое происходит либо когда ширина канала достаточно мала (т.е. это просто побочный эффект первого варианта атаки), либо когда мощность атаки достаточно велика и направлена не на конкретный сервис. В таком случае блокировки IP на атакуемом сервере смысла не имеют (ибо для того, чтобы пакет был отброшен, он должен дойти до места анализа), а должны производиться на стороне провайдера, если его канал достаточно широк. При достаточной мощности атаки может быть и этот вариант не поможет, тогда используются другие методы (но это все уже только у провайдеров).
Как-то так...