大量のTCP接続要求を出すことで行なうサービス妨害(DoS攻撃)の一種。
概要
TCP接続が3ウェイハンドシェイク方式であることを悪用した攻撃。
TCPでは、サーバ側はクライアントからの確認応答を受け取るまで接続を確立しない。
- クライアントがサーバにSYNを送る
- サーバがクライアントにSYN+ACKを送る
- クライアントがサーバにACKを送る (ここで接続が確立)
SYN+ACKを送ったサーバはクライアントからACKが来るのを待つ。この状態をハーフオープン(接続を半分確立した状態)という。
接続を半分確立した状態でも、確認応答待機のためのメモリを消費する。メモリの量には限度があるものの、クライアントからの確認応答を受け取るか、規定のタイムアウト時間まではメモリを解放できない。
この状態を同時に大量発生させると、やがてメモリがいっぱいとなり、他の接続要求を受け付けられなくなる。これを人為的に行なう攻撃がSYN Flooding Attackである。
対策
TCPの接続方式を変更することはできないため、抜本的な解決方法は今のところ存在しない。
消極的な対策としては、同じIPアドレスから連続したSYN要求が送信されても接続を拒否するなどの方法がある。