Não há realmente muitas soluções para esse problema - a menos que você consiga identificar algumas características distintivas do tráfego (digamos, o bit maligno está definido), seus upstreams não serão capazes de filtrar o tráfego antes que chegue até você.
A boa notícia é que, desde que você tenha ativado cookies SYN , uma inundação SYN não é uma particularmente eficaz DDoS, e é só o risco é que ele vai encher o seu cachimbo. Então, inverta o bit, se necessário ( echo 1 >/proc/sys/net/ipv4/tcp_syncookies
), e fique de olho na sua utilização de largura de banda.