反射 DDoS 攻击使用互联网设施来放大针对受害者的流量。上一次最大的攻击发生在去年针对Spamhaus。那个使用了“配置错误”的 DNS 服务器，据报道达到了 300 Gbps 的峰值。这个使用网络时间协议 (NTP)，据信已达到 400 gbps。

AlienVault的研究团队工程师 Eduardo de la Arada解释了该方法：“NTP 服务器是用于同步系统时钟的服务器。可用请求之一是 MON_GETLIST，它返回最多 600 台机器的地址NTP服务器已与之交互。因此，对于一个小的（234字节）请求，服务器可以响应一个大包（或多或少48k）。您可以将发件人地址修改为目标的地址，并发送大量请求到多个 NTP 服务器——发送到目标的生成流量可能非常巨大。”

Corero Network Security的首席执行官 Ashley Stephenson指出，这项技术并不新鲜。“实际上，这是 2011 年在 DDoS 环境中首次讨论的一种技术，但最近几个月它经常成为头条新闻。” 普林斯证实了这一点。这并不是什么新鲜事，“只是一次大型 NTP 攻击，”他在推特上写道。但他也评论说，“有人拥有一门新的大炮。丑事即将开始。”

讨论和认真实施之间的延迟可能归结为需要找到尽可能多的易受攻击的服务器来进行反射/放大。并非所有 NTP 服务器都容易受到攻击，因此攻击者必须扫描互联网才能找到它们。“他们收集的服务器越多，”de la Arada 解释说，“攻击就会越强。并非所有服务器都具有此功能，它已被删除，因此攻击者必须扫描互联网以寻找早于 4.2.7 的版本。” 根据 Prince 的说法，这种攻击“基于采样数据似乎 [涉及] 超过 4,500 个配置错误的 NTP 服务器。”

Lancope的首席技术官 Tim Keanini 评论说，NTP 问题早已得到修复，“但问题是人们没有按照他们应该的方式管理他们的服务。 ” “该修复程序已经存在很长时间了，并且存在免费测试这些漏洞的网站 - 但这些服务器的管理员仍然不负责任地让它们不打补丁，并帮助攻击者造成这种类型的破坏。互联网，”他补充道， “就像有一个邻居喜欢在隔壁的公寓里玩炸药一样。”

然而，现在的担忧是，这是否只是新一季大规模 DDoS 攻击的开始。“看起来这种攻击（基于 NTP）在圣诞节期间变得流行起来，”de la Arada 评论道。“但更新大量 NTP 服务器只是时间问题，否则攻击者会发现另一种反射技术来改进他们的 DDoS 攻击。”

“这些攻击越来越大的原因是管道越来越大，”基尼尼说。管道越大，攻击越大。“明年，我预计每秒流量至少会翻一番。”

斯蒂芬森同意这个新的“记录”不会持续太久。“DDoS 攻击的动机范围广泛且不可预测，同时攻击工具和攻击的复杂程度也在不断发展。这是一种不稳定的组合，可以随时袭击任何互联网业务。” 他认为，ISP 需要做更多的工作来保护他们的客户，“通过增加额外的安全层来增强他们的网络基础设施和服务，能够在靠近源头的恶意流量汇聚到预期的 DDoS 受害者之前对其进行检查和检测。”