TCP-«рукопожатие» при установлении соединения состоит из SYN, SYN+ACK, ACK-пакетов.
Вопрос — если на сервер начнется флуд из пакетов, данные которых (включая source ip, destination port) установлены «от великого рандома», а тип указан как ACK — пройдут ли эти пакеты линуксовый стек достаточно глубоко, чтобы показаться в логах pcap-основанных сниферов? (предполагается, что по пути пакеты проходят только идеально дружелюбные роутеры, пропускающие всё). Если нет, то какие опции sysctl'а могли бы повлиять на это поведение?
tcpdump, по идее, ловит все. Линуксовый стек аки точно пройдут, вроде даже есть техника разведки — ack scan. Попробуйте где-нибудь, например, с помощью hping. По-моему, опция -A