Поймал проблему. Появилась необходимость блокировать трафик по TTL, а точнее лимиты выставить, по принципу хешлимита. Атакующий трафик использует 5-10 значений TTL. Как-то бы отлавливать пакеты-дубли с одного ttl. Трафик UDP, контрек не использую, поэтому рецент отпадает