smurf

まず攻撃したい相手のIPアドレスを使って(IPスプーフィング)、どこかのネットワークにpingを打つ。

この際、特定のホストではなく、サブネットに対してIPレベルのブロードキャスト(xxx.xxx.xxx.255など)を実行すると、サブネット上のすべてのホストが一斉にpingの応答を返す。

ping要求の送信元IPアドレスは攻撃対象のIPアドレスを偽って使っているため、ping応答は全て実際にはping要求は送っていないはずの攻撃対象のネットワークに送られることになる。これを連続的に実行されるとISPなどに接続している回線がパンクすることがある。

smurfは対策が難しく、どこかで遮断してもネットワークが混雑することに変わりはない。

ISPがsmurfを検知して上流で排除すれば防ぐことはできるが、攻撃をリアルタイムに検知して対応してくれるISPは今のところ無い。ただし、source addressを偽造したパケットを送っても、それをISPから外に出さないよう設定しているISPもあり、そのようなプロバイダーからは一般にsmurf攻撃を仕掛けることが難しい。

また変形として、UDPを使うのもあり(7/udpなど)、これはudp smurf、あるいはfraggleと呼ばれているようである。

ホストがブロードキャストあてのICMP ECHOに応答しなければ問題はない。