SYN flooding

對於任何一個listening socket，Kernel會維護兩個Queue：

• incomplete connection queue
• complete connection queue

其中incomplete connection queue是指Server收到Client SYN封包後，還沒完成Three-way handshaking的動作，反之，則會在complete connection queue裡。

由於Queue有一定的大小，所以攻擊者可以寫一個程式，用非常快的速率送出大量的SYN封包來填滿incomplete connection queue。除此之外，攻擊者往往也會偽造來源IP位址(IP spoofing)，讓server無法得之攻擊者的實際位址。由於攻擊者用大量的SYN封包填滿imcomplete connection queue，所以會造成正常使用者無法連上此server，也是Denial of Service (DoS) 的一種。