Hát, attól függ hogy érted... Kernel szinten nem sokkal bonyolultabb az OS fingerprintre matchelni a SYN csomagok feldolgozásakor, mint egy táblányi IP-t végignézni, hogy blokkolni kell-e vagy sem. Szóval nem emiatt lesz nagy valószínűséggel az overhead.
Ha meg annyi packet jön, hogy megeszi az összes sávszélességet, akkor egyébként sincs mit tenni (max. ha van rá lehetőség, akkor máshol szűrni, ahol vastagabb a "cső", pl. a szolgáltatói gerincen ;)