"La raíz" es un archivo también (index.php/.html/.asp).
Un ataque se podría evitar con htaccess, cloudfare o muchas veces tu hosting se hace cargo también.
Encontré en foro20 esto:
Código htaccess:
Ver originalRewriteEngine on
RewriteCond %{QUERY_STRING} ^([0-9]+)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)\?([0-9]+)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^([0-9]+\.[0-9])(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)\?([0-9]+\.[0-9])(.*)$ [NC]
RewriteRule ^(.*)$ http://%{REMOTE_ADDR} [L]
Me parece que te funcionará perfecto.