反射型dos攻擊的目的同樣是耗盡目標的資源，但是實現方式不同。

攻擊原理：是利用了很多網路協議不對源ip進行認證，來實現ip欺騙，例如udp協議就不會認證源ip。

攻擊者不直接傳送請求給目標機器，而是偽裝成目標的ip地址給某些特殊開放的伺服器傳送請求，往往選擇的是具有放大資料包效果的伺服器，而這些中間伺服器接受到請求之後，將更多的響應資料按照ip地址傳送給攻擊目標機器，造成目標機器資源耗盡，停止服務。

相當於一個借刀殺人，經過一個第三方，又達到四兩撥千斤的效果，所以被稱為反射型ddos攻擊

防禦：將伺服器放在防火牆後，防火牆嚴格審查傳進來的資料包，只需要設定檢視傳送方的ip是否是本地網路請求過的，如果不是，就拒絕。

但是這種方法可能會造成許多單方面資料包的誤殺，所以更好的方法是配置資料包時間檢測，由同一個ip返送的響應資料包，短時間內如果頻繁傳送響應包，那我們就攔截該ip的全部後續資料包。