SYN (synchronize) mesajı göndererek bir bağlantı kurmak ister. #Sunucu bu mesajı, SYN-ACK mesajlarını istemciye dönerek, kabul eder. #İstemci ACK ile yanıt verir ve bağlantı kurulmuş olur. Bu TCP üçlü el sıkışma olarak adlandırılır, ve bütün TCP protokolü kullanan kurulmuş bağlantılar için temeldir. Bir SYN saldırısı, sunucuya beklenen ACK kodunu göndermeyerek çalışan bir ataktır. Kötü niyetli istemci ya basit bir şekilde beklenen ACK'yı göndermez ya da sahte IP adresi kullanarak SYN'deki IP adres kaynağını zehirler(spoofing). Çünkü sunucu sahte IP adresine SYN-ACK göndermeye çalışır. Ancak ACK gönderemeyecektir çünkü o adresle bir SYN gönderilmediğini bilir. Sunucu bir süre acknowledgement(kabul) için bekleyecektir. Fakat saldırılarda bu istekler sürekli artan şekilde olduğundan sunucu yeni bağlantı oluşturamaz duruma gelir. 