Peço desculpas antecipadamente se realmente não entendi a pergunta. Ao enviar uma inundação SYN, ataque-a para tentar criar o maior número possível de conexões semiabertas na vítima. Isso deixa cada uma das conexões semiabertas no estado SYN-RECVD temporariamente utilizando recursos.
No entanto, parece que você não está enviando seu SYN flood adequadamente, não falsificando o IP de origem dos invasores. Quando sua máquina atacante recebe o SYN / ACK, ele imediatamente envia um pacote de redefinição para desligar esse socket e nega qualquer tentativa de flood. No entanto, não estou familiarizado com o comportamento do Firewall do Windows. Se você falsificar o endereço de origem para um IP não utilizado, o RST não será enviado e cada SYN / ACK enviado pela vítima entrará em recuperação exponencial aumentando drasticamente a eficácia do ataque. (por favor use um IP no espaço privado para que os SYN / ACKs não estejam refletindo de volta em algo na internet)
Ok, o próximo é o fato de você estar repetindo o mesmo pacote com a mesma 4-tupla e o mesmo número de sequência inicial. Você precisa que cada SYN seja exclusivo para ser eficaz. Eu sugiro strongmente que você use qualquer distribuição Linux e o aplicativo "hping3". Você deve ser capaz de obter os resultados desejados. Considere também que o ping usa o ICMP e pode não ser um bom teste de atraso do servidor, pois é um processo consideravelmente diferente na forma como o servidor responde. Posso sugerir o nmap ou mesmo o hping3 novamente para testar a resposta TCP do servidor.