SYN -tulva on palvelunestohyökkäyksen muoto, joka voidaan käynnistää tietokonepalvelimella palvelimen hukuttamiseksi eikä muiden käyttäjien päästä siihen. Tämä on hieman vanhempi hyökkäysmuoto ja se oli melko suosittu jonkin aikaa hyökkäyksen aloittamiseen tarvittavien suhteellisen vähäisten resurssien vuoksi. Hyökkäyksen perusprosessi käyttää menetelmää, jolla käyttäjät muodostavat yhteyden palvelimeen lähetyksen ohjausprotokollan (TCP) kautta, jotta järjestelmän kaikki resurssit voidaan käyttää. SYN -tulvat olivat aikoinaan suosittu hyökkäysmuoto, vaikka sen tehokkuuden vähentämiseksi tai poistamiseksi nykyaikaisilla palvelimilla on kehitetty useita erilaisia ratkaisuja.
SYN -tulvan perusidea hyödyntää tapaa, jolla käyttäjät muodostavat yhteyden palvelimiin TCP -yhteyksien kautta. TCP käyttää järjestelmää, jota kutsutaan kolmisuuntaiseksi kädenpuristukseksi ja joka alkaa siitä, että käyttäjä lähettää “synkronoi” tai SYN-viestin palvelimelle. Palvelin vastaanottaa viestin ja lähettää takaisin “synkronoi kuitattu”-tai SYN-ACK-viestin käyttäjälle. Kun käyttäjän järjestelmä vastaanottaa tämän viestin, käyttäjä lähettää viimeisen kuittaus- tai ACK -viestin palvelimelle yhteyden muodostamiseksi. Tämä perusprosessi tapahtuu melko nopeasti ja varmistaa, että yhteyden molemmat päät on synkronoitu.
SYN-tulvahyökkäys käyttää kuitenkin tätä kolmisuuntaista kättelyä resurssien sitomiseen palvelimessa estäen siten muita käyttämästä järjestelmää. SYN-tulvahyökkäys alkaa palvelimelle lähetetyllä SYN-sanomalla, joka vastaa normaalilla SYN-ACK-vastauksella. Tämä viesti jää kuitenkin vastaamatta yhdellä useista tavoista, joiden seurauksena palvelimelle ei lähetetä lopullista ACK -viestiä. Tässä vaiheessa palvelin jättää resurssit, jotka ovat sitoutuneet odottamaan ACK -viestiä, jos verkon ruuhkautuminen on syy vastauksen puuttumiseen.
Palvelimilla on kuitenkin vain rajalliset resurssit kolmisuuntaisten kädenpuristusten käsittelyyn, ja monet palvelimet on suunniteltu käsittelemään vain kahdeksan tällaista prosessia kerrallaan. SYN -tulva koostuu kahdeksasta tai useammasta SYN -viestistä, jotka lähetetään ilman vastaavaa ACK -viestiä jälkeenpäin, jolloin kaikki palvelimen resurssit ovat sitoutuneet odottamaan vastausta, jota ei koskaan tule. Niin kauan kuin se odottaa näitä viestejä, muut käyttäjät eivät voi muodostaa yhteyttä palvelimeen. Vaikka monet palvelimet on suunniteltu tyhjentämään vastausjono kolmen minuutin kuluttua, joku SYN -hyökkäyksen käynnistäjä voi yksinkertaisesti lähettää kahdeksan SYN -viestiä uudelleen kolmen minuutin välein, jotta järjestelmä pysyy lukitsemattomana.
Tämän tyyppisille hyökkäyksille on löydetty useita erilaisia ratkaisuja, joten SYN -tulvat ovat usein vähemmän onnistuneita kuin aikaisemmin. Yksi yleinen ratkaisu käyttää ”SYN -evästeitä”, jotta järjestelmä voi tyhjentää jononsa, kun kahdeksan pyyntöä on saavutettu, jolloin uudet käyttäjät voivat lähettää yhteydenottopyyntöjä palvelimelle. Jos jokin vanhemmista puhdistetuista pyynnöistä tulee lopulta, evästeet varmistavat, että se tunnistetaan oikein ACK -sanomaksi ja että käyttäjä voi muodostaa yhteyden palvelimeen.