NTP协议包含一个monlist功能，用于监控 NTP 服务器，NTP 服务器响应monlist指令后就会返回与其进行过时间同步的最近600个客户端的IP地址，响应包按照每6个IP进行分割，最多一个NTP monlist请求会形成100个响应包，具有较强的放大能力。

实验室模拟测试显示，当请求包的大小为234字节时，每个响应包为482字节，单纯按照这个数据，计算出放大的倍数是：482*100/234 = 206倍，从而大流量阻塞网络，导致网络不通，无法提供服务。