Een F5 refresh e.d. kun je niet opvangen met PHP, javascript etc. etc. de request is namelijk al verzonden naar apache (= de webserver). Je zou dus moeten beveiligen op niveau van Apache, echter kun je hier als klant niet bij waardoor je het dus niet kunt beveiligen.
Je kunt hooguit voorkomen dat alle data van de site geladen wordt. Echter.... een DDos aanval is eigenlijk niets meer of minder dan het openen en sluiten van connecties naar de webservers op een specifieke port. Ook bij het veroorzaken van een hoge load, hoeft er geen data te komen zolang de ports maar geopend en gesloten worden (in rap tempo).
Met een scriptje opvangen gaat dus niet echt.