SYN-tulva on yksi verkon palvelunestohyökkäystyypeistä , joissa lähetetään suuri määrä SYN-pyyntöjä ( TCP -protokollan kautta yhteyspyyntöjä) melko lyhyessä ajassa ( RFC 4987 ).
TCP:n "kolminkertaisen kättelyprosessin" mukaan asiakas lähettää paketin, jossa on SYN ( synkronointi ) -lippu. Vastauksena palvelimen on vastattava SYN+ACK-lippujen yhdistelmällä ( kuittaa ). Tämän jälkeen asiakkaan on vastattava ACK-lipulla varustetulla paketilla, jonka jälkeen yhteyden katsotaan muodostuneen.
Hyökkäyksen periaate on, että hyökkääjä lähettää SYN-pyyntöjä ylivuodon palvelimella (hyökkäyksen kohteena) olevan yhteysjonon. Tällöin se jättää huomioimatta kohteen SYN+ACK-paketit lähettämättä vastauspaketteja tai väärentää paketin otsikon siten, että SYN+ACK-vastaus lähetetään olemattomaan osoitteeseen. Yhteysjonoon ilmestyvät ns. puoliavoimet yhteydet odottamassa vahvistusta asiakkaalta . Tietyn aikakatkaisun jälkeen nämä yhteydet katkeavat. Hyökkääjän tehtävänä on pitää jono täynnä uusien yhteyksien estämiseksi. Tästä johtuen asiakkaat, jotka eivät ole tunkeutujia, eivät voi muodostaa yhteyttä tai muodostaa sitä merkittävillä viiveillä.
Hyökkäys perustuu CERT - ryhmän vuonna 1996 kuvaamaan puoliavoin yhteyksien käyttöjärjestelmän resurssien rajoitushaavoittuvuuteen [1] , jonka mukaan jono tällaisille yhteyksille oli hyvin lyhyt (esimerkiksi enintään kahdeksan yhteyttä oli sallittu Solarisissa ) , ja yhteyden aikakatkaisu oli riittävän pitkä ( RFC 1122 :n mukaan - 3 minuuttia).
Ehdotettu ratkaisu oli käyttää SYN-evästettä tai rajoittaa uusien yhteyksien pyyntöjä tietystä lähteestä tietyn ajan kuluessa. SCTP -siirtokerroksen verkkoprotokolla , joka on nykyaikaisempi kuin TCP , käyttää SYN-evästettä, eikä se ole herkkä SYN-tulvahyökkäyksille.