TCP SYN flood là gì?

TCP SYN flood (còn gọi là SYN flood) là một loại tấn công từ chối dịch vụ phân tán (distributed denial of service - viết tắt DDoS) khai thác một phần của quá trình bắt tay ba bước (three-way handshake) thông thường để tiêu thụ (consume) tài nguyên (resource) trên máy chủ (server) mục tiêu và khiến nó không phản hồi (unresponsive). Về cơ bản, kẻ tấn công sẽ gửi các yêu cầu kết nối TCP nhanh hơn mức mà máy chủ mục tiêu có thể xử lý chúng, gây ra bão hòa (saturation) mạng.

Khi một máy khách và máy chủ thiết lập bắt tay ba bước thì việc trao đổi sẽ giống như sau:

• Máy khách yêu cầu kết nối bằng cách gửi thông điệp SYN đến máy chủ.
• Máy chủ báo nhận (acknowledge) bằng cách gửi lại thông điệp SYN-ACK cho máy khách.
• Máy khách phản hồi bằng một thông điệp ACK và kết nối được thiết lập.

Trong một cuộc tấn công SYN flood, kẻ tấn công gửi các gói tin SYN lặp đi lặp lại đến mọi cổng (port) trên máy chủ mục tiêu, thường sử dụng địa chỉ IP giả. Máy chủ không biết về cuộc tấn công, nhận được nhiều yêu cầu, rõ ràng là hợp pháp để thiết lập giao tiếp. Nó phản hồi mỗi lần thử bằng gói tin SYN-ACK từ mỗi cổng đang mở.