conntrack

Подсчет ip_conntrack на пользователя или отлавливаем зомбимашины в своей сети.

Просматривая логи роутера на linux, часто можно обнаружить сообщения вида:
kernel: ip_conntrack: table full, dropping packet.
Это означает, что таблица состояния соединений переполнена и новые пакеты не будут обрабатываться, а банально отбросятся. Первое что рекомендуют сделать в данной ситуации - увеличить количество возможных записей в таблице.