教你几种分布式攻击的防范

　　还应当注意，ngrep采用的是监听网络的手段，因此，ngrep无法在交换式的环境中使用。但是经过修改的ngrep可以不必和你的DNS在同一个网段中，但是他必须位于一个可以监听到所有DNS请求的位置。经过修改的ngrep也不关心目标地址，您可以把它放置在DMZ网段，使它能够检查横贯该网络的tfn2k攻击。从理论上讲，它也可以很好的检测出对外的tfn2k攻击。

　　在ICMP　flood事件中，ICMP回应请求的报告中将不包括做为tfn2k　flood一部分的ICMP包。Ngrep还可以报告检测出来的除smurf之外的攻击类型（TARGA,　UDP,　SYN,　ICMP等）。混合式的攻击在缺省情况下表现为ICMP攻击，除非你屏蔽了向内的ICMP回应请求，这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。

9．有关入侵检测系统的建议

　　由于许多用来击败基于网络的入侵检测系统的方法对绝大多数商业入侵检测系统产品仍然是有效的，因此建议入侵检测系统应该至少有能重组或发觉碎片的自寻址数据包。下面是部分要注意的事项：

    确信包括了现有的所有规则，包括一些针对分布式拒绝服务攻击的新规则。

    如果遵循了ICMP建议项，许多ICMP会被阻塞，入侵检测系统触发器存在许多机会。任何通常情况下要被阻塞的入站或出站的ICMP数据包可以被触发。
"任何"被你用防火墙分离的网络传输都可能是一个潜在的IDS触发器。

    如果你的入侵检测系统支持探测长时间周期的攻击，确信没有把允许通过防火墙的被信任主机排除在外。这也包括虚拟专用网。

    如果你能训练每个使用ping的用户在ping主机时使用小数据包，就可能设置入侵检测系统寻找超29字节的Echo和Echo应答数据包。