SYN Flood (halboffener Angriff)

SYN Flooding nennt man einen Angriffsvektor, um damit sogenannte DoS-Angriffe (Denial-of-Service) auf einen Server durchzuführen. Bei diesem Angriff schickt ein Client kontinuierlich SYN-Pakete (Synchronisation) an jeden Port auf einem Server und verwendet dafür gefälschte IP-Adressen. Sobald ein Angriff beginntt, dann ist es aus der Sicht des Servers so, als würden mehrere Instanzen mit ihm kommunizieren wollen. Der Server reagiert auf jede Anfrage von jedem offenen Port mit einem SYN/ACK-Paket (synchronization acknowledged / Synchronisation anerkannt). Von jedem geschlossenen Port schickt er ein RST-Paket (reset / zurücksetzen).

Bei einem normalen dreistufigen Handshake würde ein Client ebenfalls ein ACK-Paket schicken und damit bestätigen, dass er das SYN/ACK-Paket des Servers erhalten hat. Somit würde die Kommunikation beginnen. Bei einer SYN Flood (Flut) schickt der böswillige Client das ACK-Paket aber niemals zurück. Stattdessen flutet das Programm auf dem Client alle Ports auf dem Server andauernd mit neuen SYN-Anfragen. Der schädliche Client weiß, wann ein Port offen ist, wenn der Server mit einem SYN/ACK-Paket antwortet.

Der böswillige Client sorgt dafür, dass alle SYN-Anfragen echt aussehen. Weil die IP-Adressen gefälscht sind, kann der Server die Verbindung unmöglich durch das Senden eines RST-Pakets schließen. Stattdessen bleibt die Verbindung offen. Bevor es zu einer Zeitüberschreitung oder einem Timeout kommt, schlägt schon das nächste SYN-Paket vom hinterlistigen Client auf. Eine solche Verbindung nennt man halb offen. Unter solchen Umständen wird der Server durch den schädlichen Client fast vollständig beschäftigt und eine Kommunikation mit legitimen Clients gestaltet sich schwierig, oder ist gar unmöglich. Aus diesem Grund nennt man SYN Floods auch halboffene Angriffe. Übermittelt ein böswilliger Client SYN-Pakete, damit er auf diese Weise offene Ports finden und hacken kann, bezeichnet man das als SYN Scanning.