A SYN-áradás a hálózati szolgáltatásmegtagadási támadások egyik fajtája , amely nagyszámú SYN-kérés ( TCP -protokollon keresztüli csatlakozási kérés) elküldéséből áll, meglehetősen rövid időn belül ( RFC 4987 ).
A TCP „hármas kézfogás” folyamata szerint a kliens csomagot küld a SYN ( Synchronize ) jelzővel. Válaszul a szervernek a SYN+ACK jelzők kombinációjával kell válaszolnia ( nyugtázza ). Ezt követően a kliensnek egy ACK jelzővel ellátott csomaggal kell válaszolnia, amely után a kapcsolat létrejöttnek minősül.
A támadás elve az, hogy a támadó SYN kérések küldésével túlcsordítja a szerveren (a támadás célpontján) lévő kapcsolatokat. Ennek során figyelmen kívül hagyja a cél SYN+ACK csomagjait válaszcsomagok küldése nélkül, vagy meghamisítja a csomag fejlécét, így a SYN+ACK választ egy nem létező címre küldi el. Az úgynevezett félig nyitott kapcsolatok megjelennek a kapcsolati sorban , és az ügyfél megerősítésére várnak . Egy bizonyos időtúllépés után ezek a kapcsolatok megszakadnak. A támadó feladata, hogy a várólista tele legyen úgy, hogy megakadályozza az új kapcsolatokat. Emiatt a nem behatoló kliensek nem, vagy jelentős késéssel nem tudnak kapcsolatot létesíteni.
A támadás a CERT csoport által 1996 -ban leírt, félig nyitott kapcsolatokra vonatkozó operációs rendszer erőforrás-korlátozási sebezhetőségén alapul [1] , amely szerint az ilyen kapcsolatokhoz nagyon rövid volt a várakozási sor (például nem engedélyezett nyolcnál több kapcsolat). Solarisban ), és a csatlakozási időtúllépés elég hosszú volt ( RFC 1122 szerint - 3 perc).
A javasolt megoldás egy SYN cookie használata volt , vagy egy adott forrásból érkező új kapcsolatokra vonatkozó kérések korlátozása egy bizonyos időn belül. Az SCTP szállítási réteg hálózati protokollja , amely korszerűbb, mint a TCP , SYN cookie-t használ, és nem érzékeny a SYN árvíztámadásokra.