DNS amplification/reflection attack là loại DDoS xuất hiện cách đây gần 10 năm nhưng đến giờ vẫn còn khá nguy hiểm và được các nhóm tin tặc sử dụng để tấn công vào nhiều website của các tổ chức lớn trên thế giới vào năm ngoái. Loại tấn công này lợi dụng các Open DNS Resolver (là các recursive DNS server chấp nhận response cho bất cứ DNS client nào gửi query tới nó) cộng với yếu tố DNS sử dụng UDP protocol để thực hiện IP Spoofing với source IP của máy bị tấn công. Khi đó, attacker chỉ cần gửi một DNS query với kích thước nhỏ (cỡ 60 byte) tới rất nhiều các open DNS resolver thì máy bị tấn công sẽ nhận được rất nhiều DNS response với kích thước lớn gấp 50 lần (cỡ 3.223 byte) và dẫn tới tình trạng DoS. Nếu DNS server sử dụng DNSSEC thì sự việc càng trầm trọng vì DNS response trả về sẽ có kích thước lớn hơn nhiều (do chứa thêm các data để authentic và verify các response).