На сервер-жертву посылается большое количество поддельных ICMP-пакетов с широкого диапазона IP-адресов. Цель злоумышленника — заполнить канал и вызвать перегрузку сервера потоком поддельных запросов. Учитывая, что ICMP-пакеты не требуют подтверждения о получении, как TCP, «мусорный» трафик по протоколу ICMP так же тяжело выявлять, как и UDP. ICMP Flood реализуется с целью сбора информации о сервере (открытые порты и адрес назначения), чтобы организовать узконаправленную атаку по порту или приложению.
Одним из способов защиты от ICMP Flood является запрет ICMP на пограничном маршрутизаторе, но тогда будет заблокирован и легитимный трафик, в том числе ICMP ECH пакеты. Учитывая служебные функции протокола ICMP, его блокировка может стать причиной потерь других пакетов, нарушения связности и снижения пропускной способности каналов.
DDoS-Guard же использует эвристические алгоритмы анализа трафика, позволяющие вовремя выявить ICMP Flood и блокировать его без вреда для пользовательского трафика.