ist eine Form eines DoS.
Beim Verbindungsaufbau zweier Systemen wird vom TCP ein Dreiwege-Handshake ausgeführt.
- Der Client sendet ein Paket mit gesetztem Flag SYN (synchronize) im TCP-Header.
- Der Server antwortet mit einem Paket mit den Flags SYN und ACK (acknowledge).
- Der Client antwortet mit einem Paket mit dem Flag ACK.
Durch das Unterdrücken des letzten Paketes wird im Server eine so genannte halboffene Verbindung aufrecht erhalten, da das Paket durch ein Netzwerkfehler verloren gegangen sein und entsprechend vom Client erneut gesendet werden könnte. Dieses verbraucht Ressources des Servers, die so genannte SYN-Queue. Wird nun eine Masse von diesen halboffenen Verbindungen erzeugt, kann es zum Stillstand des Servers durch den Verbrauch aller Ressourcen kommen, weder korrekte noch SYN-Flooding-Pakete können noch angenommen werden. Ein DoS ist entstanden.
Modernere Server haben i. d. R. eine Begrenzung der halboffenen Verbindungen, um gegen diese Art der Angriffe gewappnet zu sein.
Eine weitere Maßnahme bei Linux sind so genannte SYN-Cookies (1), bei dem der Server eine zufällig generierte Sequenznummer zurückschickt, anhand derer er beim ACK-Paket erkennen kann, dass ein SYN-Antrag vorlag.
Weiterführende Links
(1) {SYN-Cookies - http://cr.yp.to/syncookies.html} by D. J. Bernstein