Bij een Smurf-aanval wordt gebruikt gemaakt van een principe dat ‘directed broadcast’ heet. 

‘Directed broadcast’ houdt in dat een systeem een datapakket verstuurt naar het broadcast adres van een netwerk, dat een ander netwerk is dan waar het zendende systeem toe behoort. Het data pakket wordt als een unicast-pakket gerouteerd over een netwerk, totdat het pakket arriveert bij het lokale netwerk van het broadcast IP-adres. De router die het lokale netwerk, waar het subnet zich bevindt, verbindt met het Internet, zal het unicast-pakket omzetten in een broadcast.  

Bij een Smurf-aanval wordt een ICMP (Internet Control Message Protocol) ‘echo request’ pakket verstuurd naar het broadcast IP-adres van een lokaal netwerk. De hacker gebruikt in dit ICMP-pakket een gespoofed source IP-adres of een hacker kraakt een systeem waarvan het source IP-adres wordt misbruikt. De router, die het lokale netwerk verbindt met het Internet, ontvangt de ICMP ‘echo request’- pakketten. Alle hosts op het netwerk die in hetzelfde subnet behoren als het broadcast IP-adres, zullen een ICMP ‘echo reply’ terug geven naar het source IP adres. Het gevolg hiervan is dat het source IP-adres een overweldigende hoeveelheid verkeer krijgt toegestuurd wat vaak tot gevolg heeft dat de netwerkverbinding naar die specifieke host vol komt te zitten. Hierdoor is ander legitiem verkeer niet meer mogelijk.

Op een netwerk van 254 hosts zal op 1 ICMP ‘echo request’ pakket 254 ‘echo reply’-pakketten terugkomen naar het source IP-adres van het ICMP-pakket. Het werkstation van de aanvaller stuurt een ICMP ‘echo request’ naar het subnet, waar de ‘Intermediary Hosts’ bevinden. Deze ICMP ‘echo request’-pakketten bevatten het source IP-adres van ‘Your Server’. De ‘Intermediary Hosts’ versturen een ICMP ‘echo reply’ terug naar ‘Your Server’. “Your Server’ ontvangt een grote hoeveelheid ICMP-pakketten, met het gevolg dat de netwerkverbinding maximaal wordt benut. “Your Server’ is hierdoor niet meer bereikbaar, of kan zelf geen verkeer meer genereren. Een smurf-aanval is te herkennen aan de volgende technische eigenschappen:

• ‘Your Server’ ontvangt een abnormale hoeveelheid ICMP-pakketten, afkomstig van een of meerdere IP adressen
• ‘Your Server’ ervaart toename in hoeveelheid verkeer
• Gemiddelde pakketgrootte neemt af bij ‘Your Server’
• Openstaande connecties van ‘Your Server’ worden onderbroken
• Router die ‘Intermediary Hosts’ verbindt met het Internet ontvangt ICMP ‘echo request’-pakketten van een of meerdere hosts, die zich buiten het subnet van de ‘Intermediary hosts’ bevinden.