Как вы уже знаете, SYN-атака — одна из разновидностей DDoS-атак. Можно говорить о SYN-атаке, совершаемой по отношению к хосту жертвы в том случае, когда киберзлоумышленник создает массовые подключения в состоянии SYN RECEIVED снова и снова, пока не добьется переполнения очереди соединений. Это состояние создается после того, как хост жертвы получил пакет с флагом SYN запрос на подключение и выделяет для нового подключения некоторые ресурсы. Во время SYN-атаки на хосте появляется столько полуоткрытых подключений, что система оказывается в состоянии, когда она не может больше обрабатывать поступающие запросы, в том числе и легитимных пользователей. А чтобы повысить эффективность атаки в пакетах с SYN-флагами посылаются поддельные IP-адреса для ответа. В таком случае атакуемый хост не способен быстро завершить процесс инициализации, т. к. подставной адрес может быть попросту недостижим. Такое злонамеренное действие называется SYN-спуфингом.
Процесс по созданию полного подключения всегда занимает некоторое время: после получения хостом запроса на подключение, полуоткрытое соединение помещается в очередь и отсылается первый пакет с ответом флаги SYN и ACK; если ответное сообщение от удаленного хоста не приходит, то повторно передается пакет SYN+ACK, и так до наступления тайм-аута, после чего полуоткрытое соединение удаляется из очереди. Этот процесс в некоторых платформах может занимать до трех минут для каждого SYN-запроса.
Еще полезно будет знать о том, что ОС способна обработать из очереди только ограниченное количество полуоткрытых подключений, а размером данной очереди можно управлять. К примеру, в RedHat 7.3 размер очереди по умолчанию равен 256, а в Windows 2000 Pro этот показатель равен 100. Когда очередь достигает своего предела, система отказывается принимать поступающие запросы.
