クライアントはSYNパケットをサーバーに送信してTCP接続を開きます。サーバーは単一のSYN + ACKで応答し、クライアントはACKで再び応答します。自然なネットワーク遅延のため、サーバーは、指定された送信元アドレスにSYN + ACKを送信してACK応答を受け取った後、しばらく待機する場合があります。この動作は、SYNフラッドが悪用するものです。送信元アドレスがスプーフィングされたため、応答は送信されません。サーバーが待機している場合、完全ではない十分な偽の接続は、正当なものであろうとなかろうと、新しい接続を開くことができなくなります。この状態はサービス拒否と呼ばれます。
SYNフラッド攻撃では、攻撃者が被害者からの応答を受信する必要がないため、攻撃者が実際の送信元アドレスを使用する必要はありません。送信元アドレスをスプーフィングすると、攻撃者の追跡が困難になるため匿名性が向上し、被害者がIPに基づいてトラフィックをフィルタリングすることが困難になります。結局のところ、各パケットが同じソースアドレスを使用した場合(スプーフィングされているかどうかにかかわらず)、適切なファイアウォールがすぐにそのアドレスからのすべてのSYNパケットをブロックし始め、攻撃は失敗します。
攻撃の発信元が同じIPアドレスを使用していると、SYNフラッドをより簡単に検出できます。したがって、防御側がこのアクティビティを検出してブロックできる場合、攻撃は成功しません。 SYNフラッドの一部としてランダムなIPアドレスを使用すると、攻撃を検出し、攻撃を成功させる可能性が高くなるのを防ぐことが非常に難しくなります。
独自のIPを使用しないことにより、トラフィックが2倍になります。被害者からの応答は、偽装したIPに送信され、RSTで返信します(警告が適用される場合があります)。予測できないと、ブロックするのが難しくなります。
彼らはしばしば完全にランダムではありませんが。多くの場合、攻撃されたネットワーク上に配置されるように選択されています。また、フィルターはそれほどスマートではないため、視覚的にシャッフルされたIPだけで済むことがよくあります。