Een SYN-aanval maakt misbruik van het zogeheten ‘three-way handshake’- mechanisme, dat gebruikt wordt bij het opzetten van TCP-sessies. Normaal gesproken komt een sessie tot stand door het versturen van een SYN-pakket van host A naar host B. Host B antwoordt met een SYN/ACK-pakket, waarna host A antwoordt met een ACK-pakket. Hiermee is de sessie tot stand gebracht.

Bij een SYN-aanval stuurt host A een grote hoeveelheid SYN-pakketten naar host B. In het SYN-pakket wordt een mogelijk gespoofed source IP-adres opgenomen dat niet bekend is op het Internet, of een IP-adres dat anders is dan het IP-adres van host A. Host B stuurt voor elk SYN-pakket een SYN/ACK terug naar het gespoofde IP-adres en reserveert geheugen op het systeem. Host B wacht vervolgens op de ACK pakketten, maar dat komt niet terug omdat het gespoofde adres niet bestaat of omdat het IP-adres SYN/ACK niet herkent. Bij een grote hoeveelheid SYN-pakketten kan dat ertoe leiden dat host B geen geheugen meer beschikbaar heeft voor andere actieve processen op het systeem, met het gevolg dat het systeem crasht. Ook kunnen legitieme TCP-sessies niet meer worden geïnitieerd.

Een SYN-aanval is te herkennen aan de volgende technische eigenschappen:

• Host B ontvangt een abnormale hoeveelheid SYN pakketten, afkomstig van één of meerdere IP-adressen
• Host B ervaart toename in hoeveelheid verkeer
• Gemiddelde pakketgrootte neemt af bij host B

Bron: GOVCERT.NL, “AANBEVELINGEN TER BESCHERMING TEGEN DENIAL-OF-SERVICE-AANVALLEN versie 1.1”, 1 februari 2005