Os cookies SYN são um método pelo qual os administradores de servidor podem impedir uma forma de ataque de negação de serviço (DoS) contra um servidor através de um método conhecido como inundação SYN. Esse tipo de ataque utiliza o processo pelo qual uma conexão entre um cliente e um host é estabelecida, conhecida como handshake de três vias, para fazer com que o host tenha um número excessivo de solicitações de clientes, congelando ou travando o sistema. No entanto, esses ataques ficaram desatualizados por meio de métodos como o uso de cookies SYN que os contornam. Esses cookies não apresentam uma ameaça ou risco à segurança do host ou dos clientes e não causam problemas ou problemas de conectividade.

A maneira pela qual os cookies SYN funcionam é construída da maneira básica pela qual muitos servidores e usuários, ou sistemas host e cliente, se conectam. Esse processo é conhecido como handshake de três vias e começa quando o sistema do cliente envia uma solicitação para conectar-se ao sistema host. A solicitação é chamada de mensagem de sincronização ou SYN e é recebida pelo sistema host. Esse sistema host reconhece que o SYN foi recebido enviando uma confirmação ou mensagem SYN-ACK de volta ao cliente.

Depois que o sistema do cliente recebe essa mensagem SYN-ACK, uma mensagem final de ACK é enviada de volta pelo cliente ao host. Quando o sistema host recebe esse ACK final, ele permite que o cliente acesse o sistema e pode receber solicitações SYN adicionais de outros clientes. A maioria dos servidores host possui uma fila bastante pequena para solicitações de SYN, geralmente apenas oito por vez.

A forma de ataque DoS conhecida como inundação SYN usa isso para sobrecarregar um sistema host. Isso é feito enviando uma mensagem SYN, para a qual um SYN-ACK é enviado pelo host em resposta, mas a mensagem ACK final não é enviada pelo cliente, mantendo uma posição na fila aberta. Se isso for feito corretamente durante um ataque de inundação SYN, a fila inteira será ocupada por essas solicitações não respondidas e não poderá aceitar novas solicitações de clientes legítimos.

Os cookies SYN ajudam a contornar esse tipo de ataque, permitindo que um host atue como se tivesse uma fila maior do que realmente tem. No caso de um ataque SYN flood, o host pode usar cookies SYN para enviar um SYN-ACK a um cliente, mas elimina a entrada SYN para esse cliente. Isso basicamente permite que o host funcione como se nenhum SYN tivesse sido recebido.

Uma vez que este SYN-ACK com cookies SYN é recebido pelo cliente, no entanto, o ACK correspondente enviado de volta ao host inclui dados referentes ao SYN-ACK original. O host pode usar esse ACK e os cookies SYN incluídos para reconstruir o SYN-ACK original e a entrada apropriada para essa solicitação original. Uma vez feito isso, o cliente pode se conectar ao host, mas todo o processo efetivamente contornou a fila que poderia ser ocupada por um ataque de inundação SYN.