【環境】: CentOS or Ubuntu

高トラフィック時にどこから攻撃が来ているか等をiptablesのハッシュリミットを用いて対策しています。
こちらで決めた閾値を超えたsrcipはログを取るようにしています。

似たようなことになるかと思いますが、tcpdumpだけでリアルタイムにどこからアクセス(攻撃元)が来ているかどうかを判別することは可能でしょうか?

普通にtcpdump -i IF名 オプションで実行しても、どれが攻撃元かを判別するのは難しいと思います。

1分間(特に時間指定はいりませんが)に異常なアクセス(他のsrcipに比べて大量のアクセス)があるようなホストだけをしぼってtcpdumpさせるような技(オプションまたは手法)をご存じの方がいらっしゃいましたら、ご教示頂けませんでしょうか?

不可能であるようならば、一言ムリと教えて頂くだけでも幸いです。