今手がけている案件でiptablesのconntrackの動きを調査していたのですが、
rawsocketでOSのプロトコルスタックを使わず、
勝手に3way handshakeをものすごい勢いで行う専用ツールを使うと、
短期間でconntrackのエントリーがip_conntrack_maxに達してしまう様子がみれます。
専用のIDSなんかでは防げるのでしょうが、
iptablesだけで対応できないのかなぁと思いますが、
今のところ完全な対処法は見つかってません。

なかなか奥が深いです。