смотри xakepy ez!n3 #2. Статья не претендует на что-то серьезное, просто все мысли и опыт "излил". В паблике я видел только один скрипт, который хоть как-то пытается справится с ддосом. Все остальные скрипты и реализации остаются за кадром.
Стандартная реализация - экран приветствия с последующей фильтрацией бот\человек по определенному параметру (значение в кукисах \ ID сессии \ ввел картинку в течении 10 секунд или нет).
Про защите от ддоса на шаред-хосте можно забыть =).