CK і зберігає інформацію про запит на з'єднання в стеку пам'яті. Структури, які створюються в пам'яті, як правило, досягають 280 Байт. У цей момент часу з'єднання знаходиться в напіввідчинені стані, або в стані SYN RECVD (очікування). Для попередження вичерпання ресурсів кожна операційна система має певний ліміт з'єднань, які можуть перебувати в стані SYN RECVD. Після отримання SYN - ACK пакета клієнт підтверджує свій запит за допомогою пакету ACK. Коли сервер отримує пакет ACK він перевіряє стек у пошуках з'єднання, яке підтверджується цим пакетом. Якщо таке з'єднання існує, то воно перекладається зі стану SYN RECVD в стан ESTABLISHED (встановлене). Після цього потрійне рукостискання завершено і починається передача даних. Крім описаного «природного» способу видалення з'єднання, яке знаходиться в стані SYN RECVD також можна послати пакет RST (рестарт) або очікувати поки час очікування перевищить певний ліміт, відведений на встановлення з'єднання. Атака SYN flood використовує уразливості TCP потрійного рукостискання, а саме, ту особливість, що сервер повинен розміщувати в пам'яті дані для будь-якого вхідного SYN пакета, незалежно від його аутентифікації. При проведенні SYN flood атаки нападаючий посилає SYN пакети з сфальсифікованою IP адресою, тобто вказує IP адреса, якого не існує. У цьому випадку під час виконання потрійного рукостискання сервер поміщає запит на з'єднання в пам'ять і очікує на підтвердження запиту від клієнта. Оскільки сфальсифікованого нападаючим адреси може просто не існувати, то пакетів підтвердження сервер не отримує і запит залишається в пам'яті протягом певного часу. За короткий час ці запити заповнюють стек пам'яті, який призначений для їх зберігання (як правило його об'єм не дуже великий). В результаті нові запити на з'єднання від користувачів не можуть бути оброблені і сервіси системи виявляються заблокованими. Можливою модифікацією цієї атаки (стійкою до фільтрації адрес) є ситуація, коли атака здійснюється з ботів з використанням дійсної IP адреси. При цьому система налаштовується ігнорувати SYN / ACK пакети жертви. SYN floods залишається одним з найбільш потужних методів поглинаючих атак.
ACK Flood. ACK Flood це шлях обійти захист від SYN flood атаки. Більшість мереж налаштоване на захист від атаки SYN пакетів, в той час як ACK пакети можуть безперешкодно проходити через мережу. Це створює додаткові можливості щодо завантаження ресурсів жертви, оскільки отримавши пакет ACK, система повинна виконати пошук відповідного йому TCP з'єднання. Не знайшовши такого (оскільки нападник і не намагався його встановити) система відповідає пакетом RST. Таким чином ресурси цілі завантажуються прийомом і посланням пакетів.
Reset (RST) Flood. Атаки типу SYN flood використовують уразливості встановлення з'єднання. На відміну від них, атаки RSR Flood спрямовані на вже встановлені з'єднання. Пакети з міткою RST використовуються для переустановленія з'єднання (наприклад у випадку коли на одній з машин стався збій). Якщо дві машини С і В обмінюються даними через встановлене з'єднання, і нападаючий А вирішує атакувати С, то для здійснення атаки йому потрібно обчислити / підібрати правильне число ідентифікації з'єднання (при розриві з'єднання підтвердження пакетом АСК не використовується). Тепер нападник може перервати з'єднання В і С шляхом послання сфальсифікованого пакета. Більше того, він може завантажувати машину пакетами від іме...
