Mit ihrer Methode sind die Angreifer prinzipiell in der Lage, jeden Server für Zugriffe von außen zu blockieren. Die wunde Stelle von über TCP/IP erreichbaren Servern liegt in der Art des Verbindungsaufbaus zu Client-Rechnern. Das Verfahren, das hierbei zum Einsatz kommt, betrifft grundsätzlich alle TCP-Dienste. Ein potentieller Client schickt zur Anforderung einer Verbindung zunächst den Aufruf "SYN". Er wird vom Server mit "SYN-ACK" beantwortet und daraufhin vom Client erneut mit "ACK" bestätigt. Anschließend wird die Verbindung aufgebaut. In jener Phase des Verbindungsaufbaus, in der vom Server der Verbindungswunsch per SYN-ACK bestätigt wurde, der Client aber noch nicht mit ACK geantwortet hat, besteht eine "halboffene" Leitung. Genau hier setzt der Angriffsmechanismus an: Innerhalb kürzester Zeit werden an einen Server zahlreiche SYN-Befehle geschickt. Da jeder Server nur über ein bestimmtes Kontingent von Außenverbindungen verfügt, läßt er sich durch eine darüber hinaus gehende Zahl von Anfragen blockieren.

Der Angriff erfolgt unter Zuhilfenahme des sogenannten IP-Spoofing, zu deutsch etwa Vorspiegelung falscher Internet-Adressen. Da IP-Pakete genau wie normale Briefe mittels ihrer Empfängeradresse durchs Internet geleitet werden und der Adressat im Augenblick der Annahme die Absenderadresse nicht direkt überprüfen kann, lassen sich hier ohne weiteres falsche und sogar unlogische Angaben verwenden. Woher die Attacke kommt, läßt sich anhand der vorgetäuschten Pakete nicht nachvollziehen.

Besonders tückisch dabei ist, daß der Server in diesem Zustand scheinbar normal arbeitet. Er ist für weitere Zugriffe von außen nicht mehr erreichbar, und nur in Ausnahmefällen kommt es zu einem echten Systemzusammenbruch. Eine Überprüfung des Server-Status kann, falls zuviele "SYN-RECEIVED"-Einträge vorliegen, hier den Nachweis einer TCP/IP-Blockade erbringen.

In den USA waren von solchen Angriffen bereits der New Yorker Provider Public Access Networks Corp. und der Internet Chess Club http://www.hydra.com/icc betroffen.

Das aus US-Bundesmitteln finanzierte Computer Emergency Response Team (CERT) sieht nur wenige Möglichkeiten, sich gegen derartige Attacken zu schützen. Vom FTP-Server des CERT kann ein Dokument heruntergeladen werden, in dem mögliche Schutzmaßnahmen beschrieben werden. Bedenklich ist nach Ansicht der CERT auch, daß kein Hacker-Fachwissen für die "TCP-Überflutung" nötig ist. Daniel Sleator, Präsident des betroffenen Internet-Schachklubs, ärgert sich: "Hacker sind pfiffige Enthusiasten. Das gilt aber nicht für diese Leute. Ich nenne sie Vandalen.