Pliki cookie SYN to metoda, dzięki której administratorzy serwerów mogą zapobiegać atakom typu odmowa usługi (DoS) na serwer za pomocą metody znanej jako SYN flooding. Ten typ ataku wykorzystuje proces, w którym nawiązywane jest połączenie między klientem a hostem, znany jako uzgadnianie trójstronne, w celu spowodowania, że host ma nadmierną liczbę żądań klientów, zawiesza się lub powoduje awarię systemu. Takie ataki stały się jednak w dużej mierze nieaktualne dzięki metodom takim jak użycie plików cookie SYN, które je omijają. Te pliki cookie nie stanowią zagrożenia ani ryzyka dla hosta ani klientów i nie powodują problemów z łącznością ani problemów.
Sposób działania plików cookie SYN opiera się na podstawowym sposobie, w jaki łączy się ze sobą wiele serwerów i użytkowników lub systemów hosta i klienta. Ten proces jest nazywany uzgadnianiem trójstronnym i rozpoczyna się, gdy system klienta wysyła żądanie połączenia z systemem hosta. Żądanie nazywane jest komunikatem synchronizacji lub SYN i jest odbierane przez system hosta. Ten system hosta następnie potwierdza, że segment SYN został odebrany, wysyłając potwierdzenie lub komunikat SYN-ACK z powrotem do klienta.
Gdy system klienta odbierze ten komunikat SYN-ACK, ostateczna wiadomość ACK jest wysyłana z powrotem przez klienta do hosta. Gdy system hosta otrzyma to ostateczne potwierdzenie ACK, umożliwia klientowi dostęp do systemu, a następnie może odbierać dodatkowe żądania SYN od innych klientów. Większość serwerów hostów ma dość małą kolejkę na żądania SYN, zwykle tylko osiem naraz.
Forma ataku DoS znana jako SYN flooding wykorzystuje to do przytłoczenia systemu hosta. Odbywa się to poprzez wysłanie komunikatu SYN, do którego host w odpowiedzi wysyła pakiet SYN-ACK, ale końcowy komunikat ACK nie jest wysyłany przez klienta, utrzymując otwartą pozycję w kolejce. Jeśli zostanie to wykonane prawidłowo podczas ataku SYN flood, cała kolejka zostanie zajęta przez te żądania bez odpowiedzi i nie będzie w stanie akceptować nowych żądań od legalnych klientów.
Pliki cookie SYN pomagają obejść tego typu ataki, umożliwiając hostowi zachowywanie się tak, jakby miał większą kolejkę niż w rzeczywistości. W przypadku ataku typu SYN flood host może użyć plików cookie SYN do wysłania pakietu SYN-ACK do klienta, ale eliminuje wpis SYN dla tego klienta. Zasadniczo pozwala to hostowi działać tak, jakby nigdy nie odebrano żadnego segmentu SYN.
Jednak po odebraniu tego pakietu SYN-ACK z plikami cookie SYN przez klienta odpowiednie ACK odesłane do hosta zawiera dane dotyczące oryginalnego pakietu SYN-ACK. Host może następnie użyć tego ACK i dołączonych plików cookie SYN do zrekonstruowania oryginalnego pakietu SYN-ACK i odpowiedniego wpisu dla tego pierwotnego żądania. Po wykonaniu tej czynności klient może połączyć się z hostem, ale cały proces skutecznie ominął kolejkę, która w przeciwnym razie może zostać zajęta przez atak typu SYN flood.