Limitando conexões simultâneas de um host específico para um host específico em uma porta específica?

Limitando conexões simultâneas de um host específico para um host específico em uma porta específica?

Estou tentando encontrar uma maneira de interromper verificações de portas ou atividades do tipo DoS de dentro da rede para recursos externos, para poder reduzir o número de reclamações de abuso.

Embora eu saiba que existem inúmeras ferramentas com iptables ou com Snort/Suricata que podem permitir que você rastreie o número de conexões por origem OU destino, não descobri uma maneira de fazer AMBOS. Por exemplo, provavelmente seria uma atividade normal se um host específico estivesse fazendo 50 conexões de saída na porta 80 para vários hosts na Internet, mas poderia não ser assim se essas 50 conexões fossem para um host específico em um curto período de tempo.

Alguém já encontrou esse problema antes e tem alguma sugestão sobre como proceder?

Obrigado!

informação relacionada