Использует ли netfilter.ip_conntrack в ядре в любом случае поможет смягчить (d) DoS-атаки или только усугубит ситуацию?
Я знаю, что он добавляет возможность отслеживать соединения и тому подобное, но мне просто любопытно, помогает ли это или просто усугубляет атаки, блокируя соединения.
Зависит от ваших приоритетов.
Это сделает его лучше в том смысле, что ваша машина не умирает, потому что однажды net.ipv4.netfilter.ip_conntrack_max достигнуто, машина просто перестанет принимать соединения вместо того, чтобы перегружаться.
Будет только хуже, если ваш компьютер перестанет принимать соединения.
На большинстве моих собственных серверов с высоким трафиком я просто выгрузил модуль ядра ip_conntrack. Если вы не используете его функции для чего-то вроде NAT, не обязательно, чтобы он был активным.
Нет, будет только хуже. Заполнение таблицы ip_conntrack - относительно простой способ вывести сервер из строя, и злоумышленники это знают.