TCP SYN Flood

TCP SYN Flood es un ataque DDoS de red que comprende numerosos paquetes TCP SYN que se envían a la víctima. Es uno de los ataques más antiguos en la historia de DDoS, pero sigue siendo muy común y eficaz. Explota el proceso fundamental del protocolo de enlace de tres vías de TCP. Este proceso es la base de todas las conexiones establecidas mediante el protocolo TCP.

En el proceso normal de protocolo de enlace de TCP, se intercambian tres mensajes entre el servidor y el cliente, lo que garantiza una conexión protegida. En este método, el cliente envía un mensaje SYN al servidor y, por eso, solicita iniciar una conexión. El servidor reconoce la solicitud y envía un SYN-ACK de vuelta al cliente. Finalmente, el cliente responde con un ACK y se establece la conexión.

En TCP SYN Flood, el ataque solo envía los paquetes SYN; no se molesta en procesarlos. El ataque crea «conexiones semiabiertas» que consumen los recursos del servidor y pueden exceder su disponibilidad, lo que hace que el servidor no esté disponible para ningún usuario, particularmente para aquellos legítimos que no pueden obtener el servicio provisto. Un ataque SYN puede llegar desde una dirección IP de origen falsificada; de hecho, es el único ataque TCP que no verifica el handskake, y esa es la razón de su fuerza.