Протокол используется хостами, подключенными к Интернету, для синхронизации системного времени. В дополнение к этому, старые версии NTP поддерживают службу мониторинга трафика, которая позволяет администраторам запрашивать у определенного NTP-сервера отчет об использовании трафика. После команды, называемой «контрольный список», сервер отправляет запрашивающей стороне список последних подключенных к нему 600 хостов.
При наиболее распространенном типе NTP Amplification, злоумышленник неоднократно отправляет запрос «предоставить контрольный список» на NTP-сервер, одновременно подменяя свой IP-адрес на адрес сервера-жертвы. Сервер NTP отвечает, отправляя список на поддельный IP-адрес. Отправляемый сервером ответ по объему значительно превосходит запросы, что приводит к загруженности канала связи и вызывает неспособность сервера отвечать на легитимные запросы пользователей.