Trong kỹ thuật SYN Flood, các attacker sẽ gửi các gói TCP SYN (đây là các gói được gửi khi bắt đầu kết nối) một cách rất nhanh khiến cho hệ thống phải đợi để hoàn thành một lượng lớn các kết nối, các tài nguyên không đủ để đáp ứng và việc xác thực kết nối sẽ bị chặn lại. Một biện pháp mới nhằm ngăn chặn kiểu tấn công này là SYN cookies (lưu trữ SYN). Mỗi đầu kết nối có một số thứ tự của nó. Khi trả lời một SYN, máy tình bị tấn công sẽ tạo ra một số thứ tự đặc biệt, đó chính là một cookie của kết nối, và sau đó nó sẽ quên đi tất cả những thông tin đã biết về kết nối này. Nó có thể tái thiết lập lại các thông tin đã quên về kết nối khi các gói tin tới xuất phát từ một kết nối đã xác thực.
Ngoài ra, trong kỹ thuật tấn công SYN, còn có một cách khác đó là: các attacker sẽ gửi đến hệ thống một loạt các gói tin SYN với địa chỉ IP nguồn không có thực. Hệ thống khi nhận được các gói tin SYN này trả lời và đợi thông tin phản hồi từ các địa chỉ IP giả. Vì là không có thực nên sẽ không có thông tin phản hồi nào được gửi đến trong khi hệ thống đích vẫn tiếp tục chờ và còn lưu các “request” này vào bộ nhớ gây lãng phí tài nguyên. Nếu có một lượng lớn các gói tin với địa chỉ IP giả như vậy được gửi đến thì hệ thống sẽ quá tải và dẫn đến tình trạng bị treo hoặc khởi động lại máy.
1.14.3 Tấn công Land
Tấn công Land là: khi một attacker gửi một gói tin SYN giả mạo tới đích, với địa chỉ IP nguồn và đích giống nhau, cổng nguồn và đích giống nhau, khi đó hệ thống sẽ rơi vào một vòng lặp vô hạn, đó là cố gắng để hoàn tất kết nối TCP.
Trong tấn công WinNuke, attacker gửi dữ liệu OOB/URG trên một kết nối TCP tới cổng 139 (NetBIOS Session/SMB), việc đó sẽ làm hệ thống bị treo. Bản chất của cách tấn công này là gửi các gói tin với dữ liệu “Out of Band” (OOB) tới cổng 139. Cổng 139 là cổng NetBiOS chỉ chấp nhận các gói tin có cờ Out of Band được bật). Chương trình của Windows nhận được các gói tin này nhưng lại không biết phản ứng thế nào với các dữ liệu Out of Band, điều đó dẫn đến tình trạng hệ thống bị khởi động lại, và trên màn hình sẽ hiển thị một giao diện báo lỗi màu xanh. Đây là kiểu tấn công rất thông dụng trên các máy tính Windows cũ, tuy nhiên các phiên bản mới như Windows 2000 và XP thì không bị đe dọa bởi kiểu tấn công này.
1.14.5 Teardrop
Như đã biết, các dữ liệu truyền qua mạng từ hệ thống nguồn đến hệ thống đích đều trải qua 2 quá trình:
Tại hệ thống nguồn, dữ liệu sẽ được chia ra thành các mảnh nhỏ, mỗi mảnh có một giá trị offset riêng quy định vị trí của mảnh đó trong gói dữ liệu được chuyển.
Tại hệ thống địch, các mảnh nhỏ này sẽ được sắp xếp và ghép lại với nhau dựa vào giá trị offset.
Khi đó, nếu attacker gửi đến hệ thống đích một lượng lớn các gói dữ liệu với các giá trị offset chồng chéo lên nhau, hệ thống sẽ không thể nào sắp xếp lại các gói dữ liệu này theo đúng thứ tự, và do số lượng các gói dữ liệu có offset chồng chéo quá lớn, dẫn đến tình trạng hệ thống bị treo hoặc khởi động lại.
1.14.6 Tấn công Smurf
Một kỹ thuật phổ biến để thực hiện DoS đó là Smurf. Smurf là một công cụ tạo ra một cách tiếp cận khác đối với DoS thông thường. DoS có thể đơn giản chỉ sử dụng lệnh ping mặc định để làm ngập một host cho trước. Để thực sự làm cạn kiệt tài nguyên của một đích cho trước, attacker cần phải thỏa hiệp giữa nhiều máy tính và làm cho tất cả các máy tính đó ping tới đích cùng một lúc.
Điểm khác biệt ở Smurf đó là nó có thực thi DoS tới một đích chỉ bằng một máy tính. Smurd hoạt động bằng cách gửi một gói tin tới địa chỉ broadcast của mạng với một địa chỉ IP nguồn giả mạo. Địa chỉ IP nguồn chính là địa chỉ đích trên thực tế. Khi các client trong mạng trả lời các gói ping, tất cả các máy đó sẽ gửi phản hồi tới địa chỉ giả mạo. Số lượng các host bị cuốn vào việc tấn công này bị giới hạn bởi số lượng host active trên mạng.
Tấn công DoS có thể chạy thông qua nhiều giao thức, như là UDP, IP. Việc sử dụng nhiều giao thức sẽ tăng cơ hội vượt qua được Firewall và làm cho các hệ thống phát hiện xâm nhập không nhận ra.
Bản chất của kỹ thuật này là gửi một lượng lớn các gói UDP tới hệ thống đích với mục tiêu đẩy toàn bộ hệ thống đến ngưỡng tới hạn. Các gói UDP này có thể được gửi đến nhiều port tùy ý hay chỉ duy nhất một port. Thông thường là sẽ gửi đến nhiều port làm cho hệ thống đích phải căng ra để xử lý các gói tin này. Nếu port bị tấn công không sẵn sàng thì hệ thống đích sẽ gửi ra một gói ICMP loại “destination port unreachable”. Thông thường các attacker sẽ sử dụng địa chỉ giả để che dấu hành tung, cho nên các message trả về do không có port xử lý sẽ dẫn đến 1 địa chỉ IP khác. Cách tấn công UDP Flood cũng có thể làm ảnh hưởng đến các kết nối xung quanh hệ thống đích do sự hội tụ của các gói tin diễn ra rất mạnh.
1.14.8 Tấn công DNS
Các attacker có thể đổi một lối vào trên Domain Name Server của hệ thống đích rồi cho chỉ đến một website nào đó do chính attaker tạo ra. Khi một máy khách yêu cầu DNS phân giải địa chỉ IP, lập tức DNS (đã bị thay đổi cache tạm thời) sẽ đổi thành địa chỉ IP mà attacker đã cho chỉ đến đó. Kết quả là người dùng sẽ vào trang web của attacker chứ không vào trang web mà họ muốn.