Атака SMURF относится экспертами к наиболее опасной разновидности атаки DDoS, поскольку имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов рing к системам, которые обязаны послать ответ. Запрос направляется либо на сетевой адрес, либо по адресу широковещательной рассылки, но в любом случае устройство должно выполнить преобразование уровня 3 (IР) к уровню 2 (сетевой), как этого требует RFС 1812 "Requirements foг IР Version 4 Routers" (Требования к маршрутизаторам протокола IР вер- сии 4). В стандартной сети класса С (24-разрядное выделение адресов) сетевым адресом будет .0, а адресом широковещательной рассылки - .255. Прямая широковещательная рассылка обычно служит для диагностики, позволяя выявить работающие системы без запроса по рing каждого адреса из диапазона. Атака smurf пользуется особенностями прямой широковещательной рассылки и требует как минимум трех участников: атакующий, усиливающая сеть и жертва.

Атакующий посылает мистифицированный пакет IСМР ЕСНО по адресу широковещательной рассылки усиливающей сети. Адрес источника этого пакета заменяется адресом жертвы, чтобы представить дело так, будто именно целевая система инициировала запрос. После этого происходит следующее - поскольку пакет ЕСНО послан по широковещательному адресу, все системы усиливающей сети возвращают жертве свои ответы (если только конфигурация не определяет другого поведения). Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление атаки DDoS в сто раз! Козффициент усиаения зависит от состава сети, поэтому атакующий ищет большую сеть, способную полностью подавить работу системы-жертвы.

В данной статье можно рассмотреть следующий пример: предположим, что атакующий послал 14 Кбайт непрерывного трафика IСМР на широковещательный адрес усиливающей сети, содержащей 100 систем. Сеть атакующего подключена к Интернету двухканальным соединением ISDN, усиливающая сеть - линией ТЗ со скоростью обмена 45 Мбит/с, а сеть-жертва - линией Т1 (1.544 Мбит/с). Подсчет показывает, что атакующий может сгенерировать трафик 14 Мбит/с в целевой сети, у которой практически не останется шансов продолжить нормальную работу, поскольку будет полностью занята вся полоса пропускания линии Т1. Одним из вариантов атаки является fraggle (осколочная граната). Эта атака базируется на smurf, но использует пакеты UDР вместо ICМР. Атакующий посылает обманные пакеты UDР по адресу широковещательной рассылки усиливающей сети, обычно на порт 7 (эхо). Каждая система сети, в которой разрешен ответ на эхо-пакеты, возвратит пакеты системе-жертве, в результате чего будет сгенерирован большой объем трафика, Если в системах усиливающей сети запрещены эхо-ответы, системы будут генерировать сообщения IСМР о недостижимости, и полоса пропускания все равно будет захватываться ненужным трафиком.

Специалисты по сетевой безопасности рекомендуют предпринять следующие контрмеры: чтобы предотвратить эффект усиления позволит запрет операций прямой широковещательной рассылки на всех граничных маршрутизаторах. Дополнительно можно установить в операционной системе режим "тихого" отброса широковещательных эхо-пакетов IСМР.