DoS ziehlt darauf ab den Service lahmzulegen. Wenn man versucht, DoS am Server selbst abzuwehren, mit den hier beschriebenen Methoden, ist das zu spät oder besser gesagt unsinnig.

Eine DoS Abwehr muss vor dem Server greifen!

Blödsinn. Klar ist es noch besser, wenn ein vorgeschalteter Mechanismus (z.B. Loadbalancer) eingreift.

Den hat man aber nicht zwangsläufig zur Verfügung.

Selbst wenn man im einfachsten Fall nur via .htaccess (mittels Prüfung auf User-Agent/IP) den Request abweist, statt "teure" Script-Operation zu starten, hat man schon eine ganze Menge gewonnen.