SYN flooding är en form av överbelastningsattack som kan startas på en datorserver för att överväldiga servern och inte tillåta andra användare att komma åt den. Detta är en något äldre form av attack och var ganska populär under en tid på grund av de relativt låga resurser som behövdes för att starta den. Den grundläggande processen för attacken använder metoden genom vilken användare ansluter till en server genom ett transmissionskontrollprotokoll (TCP) för att använda alla systemets resurser. SYN flooding var en gång en populär form av attack, även om ett antal olika lösningar har utarbetats för att minska eller eliminera dess effektivitet på moderna servrar.
Grundidén bakom SYN flooding använder det sätt på vilket användare ansluter till servrar via TCP-anslutningar. TCP använder ett system som kallas en trevägshandskakning som börjar med att en användare skickar ett ”synkronisera”- eller SYN-meddelande till servern. Servern tar sedan emot meddelandet och skickar tillbaka ett ”synkronisera kvitterat” eller SYN-ACK-meddelande till användaren. När användarens system tar emot detta meddelande skickas ett sista ”bekräftelse” eller ACK-meddelande av användaren till servern för att upprätta anslutningen. Denna grundläggande process sker ganska snabbt och säkerställer att båda ändarna av anslutningen är synkroniserade.
En SYN-översvämningsattack använder dock denna trevägshandskakning för att binda upp resurser inom servern, och därigenom hindra andra från att komma åt systemet. SYN-översvämningsattacken börjar med ett SYN-meddelande som skickas till servern, som svarar med standardsvaret SYN-ACK. Detta meddelande förblir obesvarat, men genom en av flera metoder som resulterar i att inget slutgiltigt ACK-meddelande skickas till servern. Vid denna tidpunkt lämnar servern resurser för att vänta på ACK-meddelandet, om nätverksöverbelastning är orsaken till bristen på svar.
Servrar har dock bara begränsade resurser för att hantera trevägshandskakningar, och många servrar är designade för att endast hantera åtta sådana processer åt gången. SYN flooding består av åtta eller fler SYN-meddelanden som skickas utan motsvarande ACK-meddelande efteråt, vilket lämnar alla serverns resurser förpliktigade att vänta på ett svar som aldrig kommer. Så länge den väntar på dessa meddelanden kan inga andra användare ansluta till servern. Medan många servrar designades för att tömma kön för svar efter tre minuter, kunde någon som startade en SYN-attack helt enkelt skicka åtta SYN-meddelanden var tredje minut för att hålla systemet låst på obestämd tid.
Ett antal olika lösningar för dessa typer av attacker har hittats, och därför är SYN-översvämningar ofta mindre framgångsrika än tidigare. En vanlig lösning använder ”SYN-cookies” för att tillåta ett system att rensa sin kö när åtta förfrågningar har nåtts, vilket tillåter nya användare att skicka förfrågningar om att ansluta till servern. Om en av de äldre rensade förfrågningarna äntligen kommer in, säkerställer cookies att den känns igen som ett ACK-meddelande och tillåter användaren att ansluta till servern.