Atak SYN flood to forma ataku typu odmowa usługi (DoS), który wykorzystuje proces trzyetapowego uzgadniania TCP, aby wyczerpać zasoby serwera. Ta metoda, często nazywana atakiem półotwartym, polega na wysyłaniu dużej liczby pakietów SYN (synchronizacji) do serwera z fałszywych adresów IP, co powoduje, że serwer tworzy liczne połowicznie otwarte połączenia, których nie może skutecznie dokończyć ani zamknąć.

Podczas typowego trzyetapowego uzgadniania klient wysyła pakiet SYN, aby nawiązać kontakt, serwer odpowiada SYN-ACK, a klient przesyła odpowiedź ACK, ustanawiając połączenie. W przypadku ataku SYN flood atakujący pomija ostatnią odpowiedź ACK, zalewając serwer niekompletnymi połączeniami i uniemożliwiając dostęp do usług prawidłowym użytkownikom.

Ataki SYN flood mogą być:

• Sfałszowane: Atakujący ukrywa swoją tożsamość, podszywając się pod inne adresy IP, co utrudnia wykrycie i przeciwdziałanie.
• Bezpośrednie: Atakujący używa swojego prawdziwego urządzenia i adresu IP, co ułatwia wyśledzenie źródła ataku.
• Rozproszone (DDoS): W ataku uczestniczy wiele urządzeń (często botnet), każde może podszywać się pod różne adresy IP, co znacznie utrudnia obronę.

Różnica między atakiem SYN flood DoS (pojedynczy napastnik) a DDoS (wielu rozproszonych napastników) polega na skali, skutkach i metodach wykrywania. Chociaż oba mogą zakłócać działanie usług, ataki DDoS są trudniejsze do odparcia ze względu na ich rozproszony charakter.

Ochrona przed atakami SYN flood obejmuje kilka strategii:

• Ograniczanie liczby żądań SYN w określonym czasie.
• Zastosowanie zapór sieciowych lub systemów wykrywania włamań do identyfikacji i blokowania złośliwego ruchu.
• Implementacja SYN cookies w celu uwierzytelnienia prób nawiązania połączenia bez przeciążania pamięci serwera.
• Zwiększenie kolejki oczekujących połączeń na serwerze lub recykling starych, półotwartych połączeń.

Zapobieganie atakom SYN flood jest kluczowe, ponieważ mogą one zablokować serwery, zakłócić działalność firm oraz powodować utratę danych. Głośne incydenty, takie jak ataki przeprowadzone przez botnet Mirai, pokazały, jaki wpływ mogą mieć na duże sieci i podatne urządzenia, takie jak te w Internecie Rzeczy (IoT).

Techniki zalewania SYN mogą być legalnie wykorzystywane przez specjalistów ds. cyberbezpieczeństwa do testów penetracyjnych i debugowania, jednak ich złośliwe zastosowanie jest nielegalne i podlega surowym karom w wielu krajach.

Ataki SYN flood różnią się od innych metod DoS, takich jak ping of death, tym, że wykorzystują procesy TCP, a nie podatności związane z ICMP lub pingiem. Aby dodatkowo zwiększyć bezpieczeństwo, organizacje mogą wdrażać zaawansowane narzędzia, takie jak SYN cookies, zapory ze stanem połączenia, filtrowanie na routerach, technologie przechwytywania TCP, systemy zapobiegania włamaniom oraz usługi chmurowe do ochrony przed DDoS.