客户端通过向服务器发送 SYN 数据包来打开 TCP 连接。服务器回复一个 SYN+ACK，客户端再次回复一个 ACK​​。由于自然的网络延迟，服务器在向指定的源地址发送 SYN+ACK 后可能会等待很短的时间来获得 ACK 回复，而这种行为就是 SYN flood 所利用的。因为源地址被欺骗了，所以回复永远不会来。如果服务器正在等待足够多的永远不会完成的虚假连接，它将无法打开任何新连接，无论合法与否。这种情况称为拒绝服务。

SYN Flood 攻击不需要攻击者收到受害者的回复，因此攻击者不需要使用其真实的源地址。欺骗源地址既提高了匿名性，又使追踪攻击者变得更加困难，并使受害者更难根据 IP 过滤流量。毕竟，如果每个数据包都使用相同的源地址（无论是否被欺骗），任何体面的防火墙都会很快开始阻止来自该地址的所有 SYN 数据包，攻击就会失败。

当攻击源使用相同的 IP 地址时，可以更容易地检测到 SYN 泛洪。因此，如果防御者正在检测并能够阻止此活动，您将不会成功进行攻击。使用随机 IP 地址作为 SYN 洪水的一部分会使其更难检测和防御，使其更有可能成为成功的攻击。

通过不使用自己的 IP，您的流量翻了一番。受害者的响应会发送到您欺骗的 IP，该 IP 会以 RST 回复（需注意）。不可预测性使它们更难被阻止。

它们通常不是完全随机的。他们经常被选择在被攻击的网络上。此外，由于过滤器不是那么聪明，它们通常只使用经过轻微洗牌的 IP。