寻找目标，包括攻击对象和网络上的NTP服务器资源。

伪造要“攻击对象”的IP地址向NTP服务器发送请求时钟同步请求报文，为了增加攻击强度，发送的请求报文为monlist请求报文。

NTP协议包含一个monlist功能，用于监控 NTP 服务器，NTP 服务器响应monlist指令后就会返回与其进行过时间同步的最近600个客户端的IP地址，响应包按照每6个IP进行分割，最多一个NTP monlist请求会形成100个响应包，具有较强的放大能力。

实验室模拟测试显示，当请求包的大小为234字节时，每个响应包为482字节，单纯按照这个数据，计算出放大的倍数是：482*100/234 = 206倍，从而大流量阻塞网络，导致网络不通，无法提供服务。

购买足够大的带宽，硬性抵挡NTP服务的DDoS攻击产生的大流量攻击。

使用DDoS防御产品，将入口异常流量进行清洗，正常流量和区分异常，将正常流量分发给服务器进行业务处理。

通过防火墙对UDP使用的123端口进行限制，只允许NTP服务与固定IP进行通信，其他IP全部拒绝。

关闭NTP服务器monlist功能。