Те са проектирани така че да се възползват от слабостта на TCP протокола и по-специално от процеса на установяване на връзката (TCP three-way handshake). Установяването на връзката при TCP се извършва от тройна размяна на пакети както е показано на следващата схема.
Клиента се опитва да установи връзка с уеб сървъра. Първо, той изпраща SYN(синхронизиращ) пакет до сървъра с цел да се синхронизират поредните номера на клиента и сървъра. SYN пакетът съдържа ISN (initial sequence numbers) на клиента. SYN, ACK, RST и други са всъщност битове (флагове) от хедъра на пакета. В този първи т.нар. SYN пакет, SYN=1, ACK=0. При вторият пакет подателят вече е сървъра и той едновременно потвърждава че е получил ISN номерата на клиента, и изпраща своите ISN номера (SYN=1, ACK=1). Сървърът увеличава с единица поредния номер на клиента, и го изпраща обратно на клиента като свой потвърждаващ (acknowledgment) номер. Последната стъпка в този процес на обмяна, е пак от страна на инициализатора, който изпраща ACK пакет на сървъра, след което връзката вече е установена.
При TCP SYN претоварването имаме претоварване на мишената на атаката чрез използването на множество подправени SYN пакети, които симулират валидни заявки за връзки. Тези пакети биват изпратени на сървъра все едно са начало на уговарянето на конекция, сървърът отговаря с SYN-ACK но последната стъпка от процеса никога не настъпва, никога не се получава третия пакет ACK. Всеки SYN пакет заема определен ресурс на мишената, следователно при множество SYN пакети изпратени от зло деятеля, машината която е цел на атаката се претоварва и спира да отговаря на всички заявки за връзки, включително и на реалните.
Подправянето на SYN пакети най-често се състои в това, че се подменя адресът на подателя с цел да се прикрие самоличността на атакуващия или да се заобиколи дадена защитна стена, като се използва адрес който е в нейните списъци за разрешение на достъпа. Допълнително тази техника позволява да се прави двойна вреда, защото освен мишената и реалните машини, които са с преправения адрес на подателя получават множество пакети от самата мишена. Всяка полуотворена връзка заема ресурс, а броят на тези връзки е краен. След достигане на този брой, устройството спира комуникациите с потребителите, докато тези отворени връзки не се затворят и изчистят от стека.
SYN атаките са прости атаки, но те все още се използват масово и имат голям успех. Някои от факторите за това са:
- SYN пакетите са част от нормалния мрежов трафик и следователно е трудно (по-скоро нелогично) да се филтрират.
- За изпращането на SYN пакети не е необходим канал с огромна пропускливост, т.е. всеки нормален потребител има ресурса да извърши такава атака.
- Лесно се променя адреса на подателя поради факта че не се изисква отговор от мишената.
