SYN flood er en af typerne af netværksdenial of service- angreb , som består i at sende et stort antal SYN-anmodninger (anmodninger om at oprette forbindelse via TCP -protokollen ) på ret kort tid ( RFC 4987 ).
I henhold til TCP's "triple handshake"-proces sender klienten en pakke med SYN ( synchronize ) flaget. Som svar skal serveren svare med en kombination af SYN+ACK-flag ( anerkender ). Herefter skal klienten svare med en pakke med ACK-flaget, hvorefter forbindelsen anses for etableret.
Princippet for angrebet er, at angriberen ved at sende SYN-anmodninger overløber køen til forbindelser på serveren (målet for angrebet). Ved at gøre det ignorerer den målets SYN+ACK-pakker uden at sende svarpakker, eller den forfalsker pakkehovedet, så SYN+ACK-svaret sendes til en ikke-eksisterende adresse. Såkaldte halvåbne forbindelser vises i forbindelseskøen og venter på bekræftelse fra klienten . Efter en vis timeout afbrydes disse forbindelser. Angriberens opgave er at holde køen fuld på en sådan måde, at nye forbindelser forhindres. På grund af dette kan klienter, der ikke er ubudne gæster, ikke etablere en forbindelse eller etablere den med betydelige forsinkelser.
Angrebet er baseret på operativsystemets ressourcebegrænsningssårbarhed for halvåbne forbindelser, beskrevet i 1996 af CERT -gruppen [1] , ifølge hvilken køen til sådanne forbindelser var meget kort (f.eks. var der ikke tilladt mere end otte forbindelser i Solaris ), og forbindelsestimeout var nok lang (ifølge RFC 1122 - 3 minutter).
Den foreslåede løsning var at bruge en SYN-cookie eller at begrænse anmodninger om nye forbindelser fra en bestemt kilde inden for en vis tid. SCTP -transportlagnetværksprotokollen , som er mere moderne end TCP , bruger en SYN-cookie og er ikke modtagelig for SYN-oversvømmelsesangreb.