Этот вид атак использует специфику работы DNS служб в сети Интернет. Суть заключается в том, чтобы запросить у публичного DNS-сервера данные о домене и направить его ответ на атакуемый сервер. При реализации данного вида атаки злоумышленник формирует запрос, в ответ на который DNS-сервер возвращает как можно больше данных.
Например, запрос списка всех DNS-записей в определенной зоне. Так как в протоколе UDP не осуществляется проверка IP-адресов источника, злоумышленник генерирует запросы от имени сервера-жертвы, указывая его IP-адрес в поле исходящего адреса. Основной целью злоумышленника является заполнение канала сервера-жертвы объемными ответами от публичных DNS-серверов. Так, используя всего несколько ботов для генерации запросов к публичным DNS-серверам, злоумышленник может увеличить поток генерируемого «мусорного» трафика до 100 раз. При этом вычислить злоумышленника или хотя бы IP-адреса генераторов запросов почти невозможно, потому что реальный исходящий IP-адрес всегда заменяется на другой.