Возможная SYN-DDOS атака

Привет! У меня роутер 750GL, и начиная с понедельника (05.10.2015) за ним стоит роутер Thompson от моего провайдера, который должен работать в режиме моста. Слово «должен», потому что при тесте MTR я вижу странный IP за моим Mikrotik, но об этом позже. Теперь по сути — у меня проблемы с интернетом. Проявления довольно странные. Сеть вроде как работает, но через пару часов начинает работать неправильно. Под «неправильно» я понимаю, что сначала перестает работать пинг по доменам — выдает «неизвестный хост», то есть проблемы с DNS. Потом пинг по IP (например, 8.8.8.8) отвечает с множеством сбоев, почти все — Request timed out. И конечно, без нормальных правил файрвола нагрузка на CPU моего MT превышает 90%. Временное решение — выключить и включить роутер провайдера (Thompson), но это не вариант на постоянку.

Хорошо, смотрю логи моего Mikrotik. На файрволе поставил правило логирования с action=log перед правилом drop all, чтобы видеть все остальные активности. Вот что получаю:

12:46:49 firewall,info Filter: input: in:ether1 out:(none), src-mac cc:35:40:1e:ae:d6, proto TCP (SYN), 74.207.236.49:44675->my_IP:8080, len 60  
12:46:50 firewall,info Filter: input: in:ether1 out:(none), src-mac cc:35:40:1e:ae:d6, proto TCP (SYN), 222.253.108.170:29789->my_IP:8080, len 48  
12:46:51 firewall,info Filter: input: in:ether1 out:(none), src-mac cc:35:40:1e:ae:d6, proto TCP (SYN), 178.74.70.70:56251->my_IP:8080, len 52  
12:46:51 firewall,info Filter: input: in:ether1 out:(none), src-mac cc:35:40:1e:ae:d6, proto TCP (SYN), 5.9.57.103:41797->my_IP:8080, len  

Как я понимаю, меня заливают трафиком на порт 8080 по TCP с SYN-флагом на интерфейс ether1. Поэтому я добавил верхним правилом файрвола добавление всех IP, совпадающих с этим паттерном (in-interface=ether1, ip-protocol=tcp, tcp-flag=syn, chain=input), в адресный список SYN_DDOS (action=add-src-to-address-list), чтобы посмотреть, сколько таких IP. Затем поставил простое правило input/drop для IP из этого списка. Это срабатывает и блокирует трафик. В /tools torch вижу эти IP, которые пытаются флудить на my_ip:8080, при этом нет пакетов tx/rx, только скорости передачи в сотни bps. Это снизило нагрузку на CPU MT, и симптомы (проблемы с DNS и таймауты) теперь появляются реже — вместо нескольких часов уже проходит около суток. Но через день или даже несколько часов ситуация повторяется. Приходится перезагружать роутер провайдера (в режиме моста), и тогда Интернет снова работает.

Я сделал тест MTR, и там происходит странное:  
- Трейс до шлюза провайдера показывает 2 прыжка (1 — мой роутер, 2 — шлюз провайдера) — это правильно.  
- Трейс до Google DNS 8.8.8.8 показывает:  
1    <1 ms    <1 ms    <1 ms  роутер [10.0.1.100]
2    <1 ms    <1 ms    <1 ms  192.168.0.254  
3    16 ms    13 ms    16 ms  10.63.0.1  
4     8 ms     7 ms     7 ms  gw1-cmts1.tesatnet.pl [79.173.37.10]
5     8 ms     7 ms     7 ms  c99-25.icpnet.pl [62.21.99.25]
6     8 ms     7 ms     8 ms  e123-1.icpnet.pl [46.238.123.1]
7    10 ms     8 ms     8 ms  e123-6.icpnet.pl [46.238.123.6]
8     8 ms     6 ms    11 ms  e123-22.icpnet.pl [46.238.123.22]
9    14 ms     8 ms     7 ms  rt1-przybyszewskiego-vlan503.core.icpnet.pl [62.21.99.162]
10    11 ms    21 ms    11 ms  google-gw.pix.net.pl [185.1.4.45]
11    12 ms    13 ms    37 ms  66.249.95.13  
12    40 ms    30 ms    39 ms  216.239.50.217  
13    30 ms    29 ms    29 ms  216.239.46.15  
14     *        *        *     Вышел таймаут ожидания ответа.  
15    31 ms    30 ms    29 ms  google-public-dns-a.google.com [8.8.8.8]

Не понимаю, что за устройство на втором прыжке — 192.168.0.254, и куда пропал шлюз провайдера? Есть ли решение этой атаки? Или мне придется попросить провайдера сменить мой статический IP?