Phương pháp tấn công SYN là phương pháp tấn công dựa vào điểm yếu của giao thức TCP/IP. Phương pháp này lợi dụng quá trình bắt tay 3 bước (3-way handshake) để làm cho thiết bị đích gửi ACK về cho địa chỉ nguồn và không kết thúc được quá trình bắt tay.
Hình 1-18: Quá trình bắt tay 3 bước.
Quá trình này được bắt đầu khi một host gửi đi một gói SYN (synchronization). Trong gói SYN này sẽ có địa chỉ IP của nguồn và đích, nó sẽ giúp máy đích gửi gói tin SYN/ACK cho máy nguồn. Khi máy nguồn nhận được gói tin này nó sẽ gửi gói tin ACK xác nhận thiết lập kết nối.
Trong cuộc tấn công SYN, hacker sẽ gửi những gói tin SYN giả mạo địa chỉ IP nguồn. Khi đó, máy nhận sẽ trả lời cho một địa chỉ IP không tồn tại, không đến được và chờ nhận ACK từ máy đó. Trong trạng thái chờ đó, yêu cầu thiết lập kết nối được lưu trong hàng đợi hoặc trong bộ nhớ. Trong suốt trạng thái chờ, hệ thống bị tấn công sẽ phải dành hẳn một phần tài nguyên cho đến khi thời gian chờ hết hạn.
Hình 1-19: Tấn công SYN
Với rất nhiều gói tin SYN gửi đi, hacker sẽ làm thiết bị bị quá tải tài nguyên khi trả lời và chờ các kết nối giả tạo và nó không còn khả năng trả lời các yêu cầu kết nối thật khác.
Biện pháp phòng chống: có thể dùng cách giảm thời gian chờ cho một kết nối và tăng kích thước hàng đợi. Tuy nhiên đây chỉ là cách bị động để giải quyết. Phương pháp tốt nhất là dùng các hệ thống cảnh báo và phát hiện dấu hiệu của các đợt tấn công này để chặn từ trước.