SYN Flood je forma typu denial-of-Service útok , ve kterém útočník pošle posloupnost
SYN
požadavků na cílový systém. Některé systémy mohou detekuje SYN Flood, když skenujete pro otevřené proxy servery, jak je běžně provádí IRC servery a služby. Jedná se o ne SYN záplavy, pouze automatizovaný systém určený pro kontrolu připojení IP. Při pokusu o spuštění klienta TCP spojení na server, klient a server výměna sérii zpráv, které normálně běží jako toto:
Klient požaduje spojení zasláním
SYN
( synchronizovat ) zprávu na serveru.Tento server uznává tuto žádost zasláním
SYN-ACK
zpět klientovi.Klient odpoví s
ACK
a spojení je založeno.Toto se nazývá TCP three-way hand , a je základem pro každé spojení navázáno pomocí protokolu TCP.
SYN Flood je dobře známý typ útoku a obecně není účinný proti moderním sítě. To funguje, pokud server alokuje prostředky po obdržení
SYN
, ale před tím, než obdrží ACK
.Tam jsou dvě metody, ale obě se týkají server neobdrží
ACK
. Škodlivý klient může přeskočit odeslání této poslední ACK
zprávu. Nebo spoofing zdrojové IP adresy v SYN
, to dělá server poslat SYN-ACK
na padělané IP adresu, a tak nikdy obdrží ACK
. V obou případech se server bude čekat na potvrzení na nějakou dobu, tak jednoduché přetížení sítě by také mohla být příčinou chybějící ACK
.Pokud tyto Half-otevřených spojení zdrojů vázat na serveru, to může být možné, aby se všechny tyto zdroje záplavy server s
SYN
zprávy. Jakmile jsou všechny prostředky určené pro Half-otevřených spojení jsou vyhrazena, žádná nová spojení (legitimní nebo ne) může být provedena, což vede k odmítnutí služby. Některé systémy mohou poruchu špatně, nebo dokonce zhroucení když další funkce systému jsou v provozu, nedostává prostředků tímto způsobem.Technologie často používán v roce 1996 o přidělování zdrojů na půl otevřené TCP spojení zapojeny do fronty, která byla často velmi krátký (např. 8 položek dlouhé ) s každým vstupem do fronty být odstraněn po ukončení spojení, nebo po jejím uplynutí (např. po 3 minut ). Když se fronta byla plná, další spojení se nezdařilo. S výše uvedené příklady, další spoje by všichni být zabráněno po dobu 3 minut zasláním celkem 8 paketů. Dobře načasovaný 8 pakety každé 3 minuty by bránily všechny další TCP spojení od dokončení. Toto počítalo typu Denial of Service útoku s minimálním provozem.
SYN cookies poskytují ochranu proti záplavě SYN tím, že odstraní prostředky přidělené na cílového hostitele.
Omezení nových připojení na zdroj na časový rámec není obecné řešení, protože útočník může spoof pakety mít více zdrojů.
Reflektor směrovače lze použít také jako útočníky, místo toho klientských počítačů.