Я бы начал с причины по которой досят сайт. Ведь грамотно досить далеко не каждый сможет, ну и просто так досить тоже никто не будет, по этому скорее всего тут дело в том что ваш сайт кому-то «насолил».

А вот решения этой проблемы действительно требуют компетентных знаний в этой области и по-этому за подобные услуги не стесняются брать большие деньги.

Есть общие превентивные методы борьбы с ддосом и какерами, поисковики в помощь, но они абсолютно не гарантируют 100% защиты от подобных зловредных действий.

Не забудьте ещё защититься от SQL-инъекций

Создайте лимитированную длину ввода в форме компонентов. Обычно вполне достаточно 7-12 символов. Данное ограничение очень просто реализовать, и оно гарантированно сделает недоступным ввод длинных запросов. Вот пример того, как данная мера не дает навредить SQL-инъекции: http://scripts.by/images/stories/sql1.gif. Конечно, сообразительный пользователь может создать для атаки новую форму и убрать из неё ограничения на длину ввода, ведь она очевидна из HTML-кода и может быть изменена, в принципе, кем угодно.

Утвердите определенный формат ввода данных. Если в поле требуется ввести возраст, то вполне разумно ограничить формат ввода целыми числами. Но опять же, это не оградит вас полностью от SQL-инъекции, а просто сделает данное вмешательство более трудным. http://scripts.by/images/stories/sql2.gif. Ратифицирование формата вводимых данных может быть обойдено с помощью модифицированных запросов во время trial-and-error тестового периода.

от sql-инъекций лучше всего защищают prepared statement, так что лучше всего их научится использовать, а не искать псевдо-защиту в виде ограничений на длину.

Конечно же, да!

ведь когда начинают ддосить сайт, обычно хостеры сразу стараются этот сайт закрыть

Это денежная война. Чтобы победить деньги, вложенные в ботнет, нужны ещё бОльшие деньги, вложенные в хостера. Этот хостер арендует для твоей стойки пару каких-нибудь джуниперов или других дорогущих хардварных файрволлов, умеющих (до некоторого предела) резать самые тяжелые атаки на самых жирных каналах, сохраняя при этом отзывчивость сайтов клиентуры.

1. Гуглим конторы предоставляющие DDoS Protection

2. Перед сайтом ставим Web Application Firewall, например Barracuda'вский

3. Балансинг и дублирующие сервера для всего.

4. Нанимаем _толкового_ админа.

В большинстве случав поможет, а 100% гарантию даёт, как известно «только страховой полис»

обычно хостеры сразу стараются этот сайт закрыть

Отнюдь. Просто сделали chown a-r на скрипты и отписались.

не очень компетентны, понятливы в такой защите

аналогично и заказчики/владельцы.