Darüber hinaus: Wenn es ausreicht, einer DDoS-Attacke auf eine Weise zu begegnen, dass der "DoS" (Überlastung des Webservers) bei Weitem nicht eintritt (hier durch Aussenden nur der HTTP-Header und ein paar Byte statischen Text), dann ist Dein „muss“ ziemlich fragwürdig.

Genau das ist der Trugschluss. … sagt der Mann auf dem Glatteis.

Also mal ehrlich, würdest Du Deinen Kunden erklären daß man DDoS Attacks am Webserver abwehren kann? Das ist ziemlich dünnes Eis auf das Du Dich damit begibst!

MFG