SYN-Flood-Attacke

SYN-Flood-Attacken sind DDoS-Attacken, die den Verbindungsaufbau des Transmission Control Protocols (TCP) nutzen, um einen Server zu überlasten.

TCP ist ein Netzwerkprotokoll, das im Unterschied zum verbindungslosen User Datagram Protocol (UDP) eine Verbindung zwischen den zwei Endpunkten herstellt. Um die Verbindung herzustellen, führen das Endgerät (Client) und der Server einen sogenannten Threeway-Handshake druch:

1. Der Client schickt ein SYN-Paket («SYN» steht für synchronize) an den Server.
2. Der Server bestätigt dies mit SYN, ACK («ACK» steht für acknowledge).
3. Der Client bestätigt wiederum mit ACK.

Danach ist die Verbindung hergestellt. SYN-Flood-Attacken senden Unmengen an SYN-Paketen, jedoch keine letzte ACK-Bestätigung. Der Server speichert die Adressen der Clients und die halboffenen Verbindungen, damit diese bei Empfang der letzten ACK-Bestätigung hergestellt werden können. Wird ein Server nun mit Anfragen überflutet und bleiben die ACK-Bestätigungen aus, sind die Ressourcen des Servers irgendwann erschöpft und es können keine neuen Verbindungen mehr hergestellt werden.