Вместо серверов доменных имен (DNS) в SNMP Reflection используется простой протокол управления сетью — общий протокол управления сетью, который используется для настройки и сбора информации от сетевых устройств (серверы, коммутаторы, маршрутизаторы и принтеры).
SNMP Reflection, как и другие атаки такого типа, использует поддельный IP-адрес для создания запросов, которые вызывают поток ответов. Во время атаки злоумышленник отправляет большое количество SNMP-запросов, используя поддельный IP-адрес жертвы на многочисленные подключенные устройства, которые отвечают на запросы с поддельного адреса. Объем атаки растет по мере того, как все большее число устройств продолжают посылать ответы на запросы пока целевая сеть не выйдет из строя из-за невозможности генерировать дальнейшие ответы.
Атаки SNMP Reflection происходят со скоростью в сотни Гбит/с и могут быть направлены на устройства из нескольких широкополосных сетей. Атаки иногда длятся несколько часов, обладают большой разрушительной силой, а последствия бывает очень сложно предотвратить.