Алгоритм атак этого типа сводится к эмуляции TCP-сессий на сетях с асимметричной маршрутизацией следующим образом: злоумышленник генерирует поддельные SYN-пакеты, затем много ACK, а затем FIN/RST пакеты.
Все эти пакеты вместе похожи на трафик реальной TCP-сессии, который отправляется одним из хостов другому. Учитывая, что сегодня в большинстве сетей реализована асимметричная маршрутизация трафика (входящие и исходящие пакеты направляются по разным маршрутам), а современные инструменты защиты сетей разработаны для анализа однонаправленного трафика, для применения атак этого вида складываются идеальные условия.
Симулируя полноценное TCP-взаимодействие и обходя инструменты защиты, которые анализируют лишь входящий трафик, злоумышленник может добиться исчерпания системных ресурсов и недоступности сервера-жертвы.
Существует две разновидности таких атак:
Первая — отправляется несколько фальсифицированных SYN пакетов, затем несколько ACK, затем один или более FIN/RST пакетов
Вторая — пропускаются SYN-пакеты, и атака начинается с отправки нескольких ACK, за которыми следует одним или более FIN/RST пакетов. Относительно небольшая скорость отправки поддельных пакетов делает атаку этого типа более сложной для обнаружения по сравнению с обычным флудом, но достигает аналогичного результата — исчерпание системных ресурсов сервера-жертвы.
Способом отражения такой атаки является настройка системы защиты на анализ входящего и исходящего трафика одновременно.