Este protocolo esta orientado a la conexión con una vida que se compone en tres fases.

1. Establecimiento de la conexión. Negociación en tres pasos:
   • Para iniciar una conexión entre dos maquinas la que va a dar servicio abre un socket pasivo de manera que el servidor se queda a la escucha en un determinado puerto.
   • Por el lado del cliente se abre un socket activo sobre el puerto del servidor enviando un SYN inicial (flag SYN activo) con su número de secuencia indicado en el campo número de secuencia de la cabecera TCP.

   .

   • A esta petición el servidor responde con un datagrama SYN/ACK, enviando, por un lado su propio numero de activación de secuencia y por otro enviando la confirmación con flag ACK en el campo de numero de confirmación con el numero de secuencia del cliente. Cuando el cliente recibe este paquete de confirmación envía al servidor un tercer segmento confirmando que lo ha recibido incluyendo en el campo confirmación la secuencia del servidor y el flag ACK activo.

A partir de este momento la conexión esta establecida y empieza la transmisión de datos.

Un punto crítico en la seguridad de este protocolo es la generación aleatoria del número inicial de secuencia ISN que usa un procedimiento basado en tiempo de reloj. Aquí encontramos uno de los ataques más antiguos sobre este protocolo. Si no números de secuencia pudieran ser predichos puede ser posible la modificación de la info. De la conexión apoderándose de ella mediante hijaking o realizar blind spoofing sobre futuras conexiones.

Es interesante comentar que existe un numero de secuencia generado por cada host ayudando de este modo a que no se puedan estableces conexiones falseadas- spoofing.