Inundação SYN (SYN flood).

Numa inundação SYN, o atacante abre — mas nunca conclui — um grande número de conexões TCP. Cada SYN falsificado ou não respondido obriga o servidor a reservar uma conexão semi-aberta na sua fila de backlog e a responder com SYN/ACK, à espera de um ACK final que nunca chega. Quando a fila enche, o servidor recusa novas conexões legítimas. As inundações SYN podem vir de um único host ou, mais frequentemente, de uma botnet, com os IPs de origem falsificados para dificultar a filtragem.

flowchart TD
  A[Atacante] -->|"1. SYN (IP de origem falsificado)"| S[Servidor alvo]
  S -->|"2. SYN/ACK para o IP falsificado"| V[Host inexistente / silencioso]
  S -.->|3. reserva entrada semi-aberta| Q[(Fila de backlog)]
  V -.->|ACK final nunca chega| S
  A -->|repete a alta taxa| S
  Q -->|fila cheia| R[Novos clientes legítimos recusados]

O ataque foi divulgado publicamente pela primeira vez em 1996, através de código de exploração na revista Phrack; em setembro de 1996, uma inundação derrubou durante dias os servidores de e-mail do ISP nova-iorquino Panix, motivando o aviso CERT CA-1996-21. A referência definitiva é a RFC 4987 (2007), "TCP SYN Flooding Attacks and Common Mitigations", que faz o levantamento das contramedidas e dos seus compromissos. A defesa mais eficaz do lado do host são os SYN cookies, concebidos por Daniel J. Bernstein: em vez de armazenar estado, o servidor codifica os parâmetros da conexão no número de sequência inicial do SYN/ACK e reconstrói-os a partir do ACK do cliente, de modo que nenhuma entrada de backlog é consumida até que o handshake esteja concluído. Outras mitigações incluem filas SYN maiores ou de tamanho dinâmico, limitação da taxa de conexões em firewalls e balanceadores de carga, filtragem sem estado na fronteira da rede e scrubbing DDoS a montante.