SYN-флуд

При SYN-флуде атакующий инициирует огромное число TCP-соединений, не доводя их до конца. Каждый поддельный или неотвечаемый SYN заставляет сервер выделить полуоткрытое соединение в очереди backlog и отправить SYN/ACK, ожидая финальный ACK, который никогда не приходит. Когда очередь переполнена, сервер отказывает в новых легитимных соединениях. Источником может быть один хост, но чаще — ботнет с подменой IP, что затрудняет фильтрацию. Защита включает SYN cookies (исключающие хранение состояния для каждой полуоткрытой сессии), увеличение или динамическое масштабирование очереди, ограничение скорости подключений на межсетевых экранах и балансировщиках, бесстатусную фильтрацию на границе сети и DDoS-scrubbing у провайдера.