Это может быть банальный вопрос. Это касается Syn Cookie. Почему только полуоткрытые соединения считаются только атакой DOS. Возможно, клиент завершит рукопожатие (SYN, SYN-ACK, ACK) и никогда не ответит после этого. Это также потребует системных ресурсов.
Итак, если клиент наводнен последовательностью (SYN, SYN-ACK, ACK), почему это не считается атакой DOS?