http://itpro.nikkeibp.co.jp/article/COLUMN/20140122/531463/?ST=security&P=1

　攻撃者はまず、脆弱性のあるNTPサーバーに対して、状態を確認する機能（monlist機能）などを用いた問い合わせパケットを送信する。このとき攻撃者は、パケットの送信元IPアドレスを被害者（攻撃の対象）のIPアドレスに詐称する。パケットを受け取ったNTPサーバーは、問い合わせの結果を、詐称された送信元IPアドレス（被害者のIPアドレス）に向けて送信する。こうして被害者のもとへ、身に覚えのない大量の応答パケットが送り付けられるのである。