Como ya se explicó en el escaneo TCP SYN el protocolo TCP se inicia con una conexión en tres pasos. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado "semiabierto".
El Syn Flood es el más famoso de los ataques tipo Denial of Service (DoS). Se basa en un "saludo" incompleto entre los dos sistemas.

El Cliente envía un paquete SYN pero no responde al paquete ACK del 2º paso del saludo ocasionando que el servidor permanezca a la escucha un determinado tiempo hasta cancelar la llamada.
Si se envían muchos saludos incompletos, se consigue que el servidor se paralice o por lo menos se relentice.

Para operar con este sistema hay que mantener el Sys Flood activo, ya que la mayoría de los sistemas tienen un límite de espera muy corto para conexiones semiabiertas. Cuando se ha esperado mucho tiempo, se libera un hueco para aceptar otras posibles peticiones, lo cual puede ser aprovechado para “colar” un paquete SYN destructivo o malicioso. Así que, este ataque se puede utilizar tanto para consumir los recursos de un sistema como para abrir el camino a otro tipo de ataque.

Si este ataque es potente es porque el atacante no necesita apenas potencia en su PC. Con mandar un SYN cada 4 segundos es suficiente. Esta velocidad se consigue de sobra con cualquier modem. Se podría decir que se necesita una velocidad de conexión ridícula. Este ataque suele combinarse también con el IP Spoofing (suplantación de una IP), para ocultar el origen del ataque.

-Connection Flood (inundación de la conexión)

Se basa en la característica de la mayoría de los proveedores de Internet (ISP) de tener un tope máximo de conexiones simultaneas, que tras ser alcanzado no acepta más conexiones. Si por ejemplo un servidor Web tiene un tope de 1000 conexiones, y el atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita establecer nuevas conexiones para mantener fuera de servicio el servidor.

-Net Flood (inundación de la red)

En este ataque se envían tantas solicitudes de conexión que las conexiones de los demás usuarios no pueden llevarse a cabo.

Es un ataque muy dañino y con poca defensa por parte de la red atacada. Es como el típico pesado que no deja de llamarnos por teléfono. Lo único que podemos hacer es descolgarlo, pero entonces no podemos usar el teléfono.

Para solucionarlo el Proveedor tiene que detectar el origen del ataque, bloquear la comunicación desde esa dirección y avisar al administrador de la misma para que actúe, ya que lo normal es que el administrador de esa dirección no sepa nada y que esté siendo utilizada su red para llevar a cabo el ataque por medio de algún spoofing (sustitución). De cualquier manera, saber el origen real del ataque es prácticamente imposible. Una vez se ha solucionado el problema, el servidor puede haber estado colgado durante horas.