Smurf gehört zu den DoS-Attacken auf ein Netzwerk, die mit Pings arbeiten. Bei der Smurf-Attacke sendet der Angreifer ein oder mehrere ICMP- Datenpakete, Internet Control Message Protocol (ICMP), an die Broadcast-Adresse des Netzwerks.
In den IP-Header wird mittels IP-Spoofing als Source Address ( SA) die des Angegriffenen eingetragen, anders als beim Ping-Flooding, bei dem eine nicht-existente Adresse eingetragen wird. Alle Clients eines Netzwerks, die den ICMP-Broadcast oder einzelne ICMP-Datenpakete empfangen, richten ihre Antwort an die Adresse des Angegriffenen, der daraufhin, je nach Anzahl an Netzwerk-Clients tausend oder mehr Antworten erhalten kann. Der Datenstrom multipliziert sich um die Anzahl an Clients, was zum Überlauf des Pufferspeichers oder zum Systemabsturz führen kann.