Smurf攻擊為DoS攻擊中較為常見的一種。它利用TCP/IP協議自身的缺陷，結合使用IP欺騙和ICMP回復方法，導致網絡嚴重的擁塞或資源消耗，引起目標系統拒絕提供合法服務，從而對網絡安全構成重大威脅。下面給出幾種防范此類攻擊的方法。

（1）阻塞Smurf攻擊的源頭

Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發送echo請求。用戶可以使用路由路的訪問保證內部網絡中發出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。

（2）阻塞Smurf的反彈站點

用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求，這們可以防止這些分組到達自己的網絡。如果不能阻塞所有入站echo請求，用戶就需要讓自己的路由器把網絡廣播地址映射成為LAN廣播地址。制止了這個映射過程，自己的系統就不會再收到這些echo請求。

（3）阻止Smurf平臺

為防止系統成為 smurf攻擊的平臺，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能并不需要。 如果攻擊者要成功地利用你成為攻擊平臺，你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網絡。配置路由器，讓它將不是由你的內網中生成的信息包過濾出去，這是有可能做到的。這就是所謂的網絡出口過濾器功能。

（4）防止Smurf攻擊目標站點

除非用戶的ISP愿意提供幫助，否則用戶自己很難防止Smurf對自己的WAN接連線路造成的影響。雖然用戶可以在自己的網絡設備中阻塞這種傳輸，但對于防止Smurf吞噬所有的WAN帶寬已經太晚了。但至少用戶可以把Smurf的影響限制在外圍設備上。通過使用動態分組過濾技術，或者使用防火墻，用戶可以阻止這些分組進入自己的網絡。防火墻的狀態表很清楚這些攻擊會話不是本地網絡中發出的（狀態表記錄中沒有最初的echo請求記錄），因些它會象對待其它欺騙性攻擊行為那樣把這樣信息丟棄。