У фаервола iptables переполнилась таблица соединений. Если началось внезапно, это точно ddos.
Быстрый фикс:
sysctl -w net.netfilter.nf_conntrack_max=131072
Дальше можно смотреть tcpdump, анализировать флуд. Помогут мои рецепты по тегу ddos и defence.