No se pueden evitar ataques ddos desde php. Eso te lo pueden hacer hasta pingeando la ip de tu site. Si tenés un server te conviene hacer algún script en c, bash o python para evitar el ataque bloqueando los puertos cuando envíen demasiados paquetes de datos para hacerte un overload en el server.

Si te hicieron un ataque tampoco tiene sentido que muestres ese header, porque los usuarios ni siquiera van a poder verlo, solo les va a llegar un msg de timeout del paquete enviado para iniciar la conexión con el servidor. Osea que tu web no va a cargar directamente.

Mejor tener un buen contrato si estás en un host compartido, que contemple este tipo de cosas desde el SO de los servers.