Чтобы закрыть TCP-SYN сессию, между клиентом и хостом производится обмен RST- или FIN-пакетами. Во время RST или FIN Flood сервер-жертва на высокой скорости получает поддельные RST- или FIN-пакеты, не имеющие отношения к любой из сессий в базе данных сервера. Сервер-жертва вынужден выделять значительное количество системных ресурсов для сопоставления входящих пакетов с текущими соединениями, что приводит к потере производительности сервера и к его частичной недоступности.
Одним из способов защиты является ограничение количества обрабатываемых FIN/RST запросов за определенное время. Стоит учитывать, что если ввести ограничение, то появится риск потерять пользователей с одинаковым IP-адресом, так как многие интернет-провайдеры, используя свой NAT, пересылают через один IP-адрес запросы от многих пользователей.