読み方 : ティー・シー・ピー・シン・フラッド・コウゲキ

DoS 攻撃の 1 種で、TCP のハンドシェイクが確立しない要求パケットを次々に送信することで、リソースを浪費させ、サービス拒否の状態とする攻撃。単に「SYN フラッド攻撃」と呼ばれることもあります。さらに、攻撃元が IP アドレスを詐称 (IP スプーフィング) する手法と組み合わせることにより、より防御が困難な攻撃となります。
TCP による接続では、まずクライアントがサーバーに対して SYN パケットを送信します。次にサーバーがクライアントに対して、SYN/ACK パケットを返し、そのメッセージに対して、さらにクライアントが承認のための ACK パケットを送信することで、初めて接続が確立します。3 回のパケットのやり取りを通じて接続が確立するので、これを「3 ウェイ・ハンドシェイク」といいます。しかしクライアントが最後の ACK パケットを返さないと、接続が確立しない状態 (「ハーフ・オープン」状態) のまま、サーバーは待たされることになります。ハーフ・オープン状態では、クライアントからの ACK 応答を待つために、サーバー側は TCP 接続のためのリソースを割り当てたままタイムアウトするまで待つことになります。
ところが、ハーフ・オープン状態の数が多くなりすぎるとサーバー側のリソースを無用に消費してしまい、新しい (正規の) TCP 接続を受け付けられなくなったり、ほかの処理が滞ったりするなど、様々な問題が発生します。このように、最初の SYN パケットだけを連続して送信し続ける攻撃を、TCP SYN フラッド攻撃と呼びます。
さらに、送信元の IP アドレスを詐称することにより、意味のない IP アドレスへの SYN/ACK パケットの返信の必要が生じ、ネットワークに対して無用なトラフィック増を招いたり、例えば同じ IP アドレスからの連続した TCP SYN 要求を抑制するといった対策を行いにくくしたりすることができます。
3 ウェイ・ハンドシェイクは、TCP 接続における基本的な通信開始シーケンスであり、SYN 要求を受け取ってもハーフ・オープン状態にしないというなどという、完全な防御策はありません。しかし TCP SYN フラッド攻撃に対する影響をいくらか軽減することは可能です。例えば、ある一定量以上の (同じ IP アドレスからの連続する) SYN 要求は受け付けないようにしたり、ファイアウォールで TCP 接続を代理受信し、正常にオープンできた接続だけをサーバーに渡したり、といった方法があります。また、ファイアウォールや OS で IP スプーフィングを検知し、排除するような設定を行うことにより、IP 詐称と組み合わせた TCP SYN フラッド攻撃を防ぐことができます。ただし、インターネットから社内の IP アドレスを詐称するような IP スプーフィングの検知は簡単に排除できるが、グローバル・アドレスを詐称するような IP スプーフィングの検知は容易ではありません。ネットワーク監視ソフトウェアなどを活用し、常にネットワークの状態をモニタリングすることも対策としては重要です。