Um grande número de máquinas invadidas enviam segmentos TCP ao servidor para iniciar a conexão, muitas vezes falsificados e, assim, parecerem que vieram de máquinas diferentes. Enquanto o servidor responde ao segmento TCP, ninguém do outro lado completa o handshake TCP, deixando o servidor suspenso. Uma vez que um host só consegue manter um número limitado de conexões em semiaberto, este não mais aceita conexão.

O texto acima descreve um ataque de negação de serviço muito comum antigamente, porém com consequências. A que tipo de ataque o texto se refere?