Sim. Os pacotes destinados ao seu host ainda serão roteados para sua máquina e sua máquina ainda terá que processar essas solicitações. Mesmo que a 'porta esteja fechada', o Kernel / Pilha de Rede ainda terá que validar o pacote, os cabeçalhos, a soma de verificação e depois descobrir que não suporta o pedido. Em alguns casos, isso também resulta na saída de um pacote tentando informar ao sistema remoto que você não está aceitando dados nessa porta; combine isso com muitos pedidos por segundo, e você pode acabar adicionando ao DDoS em sua própria caixa.
As únicas medidas preventivas são balancear a carga do sistema por trás de várias camadas para distribuir as solicitações ou entrar em contato com um provedor upstream que pode eliminar o tráfego antes que ele chegue à sua caixa.