SYN flood este unul dintre tipurile de atacuri de denial of service de rețea , care constă în trimiterea unui număr mare de solicitări SYN (cereri de conectare prin protocolul TCP ) într-un timp destul de scurt ( RFC 4987 ).
Conform procesului de „strângere de mână triplă” TCP, clientul trimite un pachet cu steag-ul SYN ( sincronizare ) setat. Ca răspuns, serverul trebuie să răspundă cu o combinație de steaguri SYN+ACK ( recunoaște ). După aceea, clientul trebuie să răspundă cu un pachet cu flag ACK, după care conexiunea este considerată stabilită.
Principiul atacului este că atacatorul, prin trimiterea de cereri SYN, depășește coada pentru conexiunile pe server (ținta atacului). Procedând astfel, ignoră pachetele SYN+ACK ale țintei fără a trimite pachete de răspuns sau falsifică antetul pachetului, astfel încât răspunsul SYN+ACK să fie trimis la o adresă inexistentă. Așa -numitele conexiuni semi- deschise apar în coada de conexiune , așteptând confirmarea clientului . După un anumit timeout, aceste conexiuni sunt întrerupte. Sarcina atacatorului este de a menține coada plină astfel încât să împiedice noi conexiuni. Din acest motiv, clienții care nu sunt intruși nu pot stabili o conexiune sau o pot stabili cu întârzieri semnificative.
Atacul se bazează pe vulnerabilitatea de limitare a resurselor sistemului de operare pentru conexiunile semideschise, descrisă în 1996 de grupul CERT [1] , conform căreia coada pentru astfel de conexiuni era foarte scurtă (de exemplu, nu erau permise mai mult de opt conexiuni). în Solaris ), iar expirarea conexiunii a fost suficient de lungă (conform RFC 1122 - 3 minute).
Soluția sugerată a fost utilizarea unui cookie SYN sau limitarea cererilor de conexiuni noi de la o anumită sursă într-un anumit interval de timp. Protocolul de rețea al nivelului de transport SCTP , care este mai modern decât TCP , utilizează un cookie SYN și nu este susceptibil la atacurile SYN flood.