Una inundación SYN es un ataque de negación de servicio (DoS) que se basa en abusar de la forma estándar en que se establece una conexión TCP. Por lo general, un cliente envía un paquete SYN a un puerto abierto en un servidor que solicita una conexión TCP. Luego, el servidor reconoce la conexión enviando el paquete SYN-ACK de regreso al cliente y completando la información del cliente en su tabla de bloque de control de transmisión (TCB). Luego, el cliente responde al servidor con un paquete ACK que establece la conexión. Este proceso se conoce comúnmente como un "apretón de manos de tres vías".
Una inundación SYN abruma una máquina de destino al enviarle miles de solicitudes de conexión utilizando direcciones IP falsificadas. Esto hace que la máquina de destino intente abrir una conexión para cada solicitud maliciosa y, posteriormente, espere un paquete ACK que nunca llega. Un servidor bajo un ataque de inundación SYN continuará esperando un paquete SYN-ACK para cada solicitud de conexión, ya que la demora podría ser normal y estar relacionada con la congestión de la red. Sin embargo, debido a que nunca llega un paquete SYN-ACK para ninguna de las solicitudes de conexión; la gran cantidad de conexiones semiabiertas llena rápidamente la tabla TCB del servidor antes de que se agote el tiempo de espera de cualquier conexión. Este proceso continúa mientras continúe el ataque de inundación.
En ocasiones, los atacantes también agregarán información legítima a sus solicitudes, como el número de secuencia o el puerto de origen 0, ya que esto aumenta el uso de la CPU del servidor de destino además de provocar la congestión de la red, y podría provocar de manera más efectiva un estado de negación de servicio.