Come anche il titolo dice è un attacco al protocollo tcp/ip questo avviene per diverse cause come il cattivo controllo da parte del programmatore di funzioni che non controllando l’input e con l’aumento della richiesta dei pacchetti cedono.
Chi attacca inonda il sistema di numerose richieste ovvero pacchetti SYN usando come indirizzo per inviarli un ip inesistente, bene a questo punto lo stack si riempie dato che la risposta SYN/ACK non avverra’ mai dato l’indirizzo inesistente e porterà un buffer e il cedimento del server.
Tutte le connessioni entrano in una coda di backlog con uno spazio limitato quindi potete pensare le numerose rischieste che non hanno risposta e il relativo timeout delle connessioni.
A seconda del tipo di sistema operativo per esempio Linux usa il syscookies per evitare questi attacchi Sys flood, questo non fa altro che registrare un potenziale attacco, infatti determinando un intervallo di tempo e numerose richieste senza risposta da parte dell’ indirizzo di origine.