SYN flood es uno de los tipos de ataques de denegación de servicio de red , que consiste en enviar una gran cantidad de solicitudes SYN (solicitudes para conectarse a través del protocolo TCP ) en un tiempo bastante corto ( RFC 4987 ).
De acuerdo con el proceso de "apretón de manos triple" de TCP, el cliente envía un paquete con el indicador SYN ( sincronizar ) establecido. En respuesta, el servidor debe responder con una combinación de indicadores SYN+ACK ( reconoce ). Después de eso, el cliente debe responder con un paquete con el indicador ACK, luego de lo cual la conexión se considera establecida.
El principio del ataque es que el atacante, al enviar solicitudes SYN, desborda la cola de conexiones en el servidor (objetivo del ataque). Al hacerlo, ignora los paquetes SYN+ACK del objetivo sin enviar paquetes de respuesta, o falsifica el encabezado del paquete para que la respuesta SYN+ACK se envíe a una dirección inexistente. Las llamadas conexiones semiabiertas aparecen en la cola de conexión , esperando la confirmación del cliente . Después de un cierto tiempo de espera, estas conexiones se interrumpen. La tarea del atacante es mantener la cola llena de tal manera que impida nuevas conexiones. Debido a esto, los clientes que no son intrusos no pueden establecer una conexión o establecerla con retrasos significativos.
El ataque se basa en la vulnerabilidad de limitación de recursos del sistema operativo para conexiones semiabiertas, descrita en 1996 por el grupo CERT [1] , según la cual la cola para tales conexiones era muy corta (por ejemplo, no se permitían más de ocho conexiones). en Solaris ), y el tiempo de espera de la conexión fue lo suficientemente largo (según RFC 1122 - 3 minutos).
La solución sugerida fue usar una cookie SYN o limitar las solicitudes de nuevas conexiones de una fuente específica dentro de un período de tiempo determinado. El protocolo de red de la capa de transporte SCTP , que es más moderno que TCP , utiliza una cookie SYN y no es susceptible a los ataques de inundación SYN.