Darüber hinaus: Wenn es ausreicht, einer DDoS-Attacke auf eine Weise zu begegnen, dass der "DoS" (Überlastung des Webservers) bei Weitem nicht eintritt (hier durch Aussenden nur der HTTP-Header und ein paar Byte statischen Text), dann ist Dein „muss“ ziemlich fragwürdig.

Genau das ist der Trugschluss.

… sagt der Mann auf dem Glatteis.