Можно добавить: sh ip ca fl - если включен CEF и flow-dscan если юзается netflow-tools; ip verify unicast reverse-path - при ассиметричном раутинге не работает; ACL на магистрали: CPU сдохнет и логи засрутся, только Null0 P.S.: rfc2267 - устарело, смотрите rfc2827
"... Эти данные могут использоваться, чтобы определить IP адрес маршрутизатора, отправляющего злонамеренный трафик. Процесс будет повторен на следующем маршрутизаторе в цепочке. После нескольких итераций, источник (или один из них) будет обнаружен. Тогда можно создать соответствующий фильтр, который заблокирует атакующего..."
Это, конечно, спасает, если трафик приходит от малого количества источников, а если инициаторов атаки 1000 или 10000 разбросанных по всему миру? Тут бесполезно искать атакующего. И вообще, если трафик атакующего достаточно большой (~1-2 Гбит/c), то тут никакие правила фильтрации не помогут. Захлебнется не только ближайший маршрутизатор жертвы, но и сам ISP. Поэтому для того, чтобы бороться с DDoS - нужно переделывать всю инфраструктуру Интернета, каждый маршрутизатор (или хотя бы “граничные”). Попытки сделать что-то подобное уже ведутся. В пример можно привести проект D-WARD: http://lever.cs.ucla.edu/ddos/qual/
А пока остается только надеяться, что против вас не применят это грубое и эффективное оружие.
Даже для 10-20 это трудная задача и если хосты атакующего находятся за рубежом, то проследить полный путь практически невозможно. В принципе, чтобы генерировать трафик ~1 Гбит/c хватит и 20 машин. Правда в этом случае придется использовать методы приумножения трафика, которые могут дать коэффициент умножения ~1000, но на настоящий момент времени это уже не проблема.