谢绝 服务攻击是一种遍及 全球的系统漏洞，黑客们正醉心于对它的研究，而无数的网络用户将成为这类 攻击的受害者。Tribe　Flood　Network,　tfn2k,　smurf,　targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来，使得我们的村落更加 薄弱，我们不能不 找出一套简单易用的安全解决方案来应付黑暗中的攻击。

　　由于我们防范手段的加强，谢绝 服务攻击手法也在不断的发展。 Tribe　Flood　Network　(tfn)　和tfn2k引入了一个新概念：散布 式。这些程序可使 得分散在互连网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行多种类型的攻击，如UDP　flood,　SYN　flood等。

　　操作系统和网络设备 的缺点 在不断地被发现并被黑客所利用来进行歹意 的攻击。如果我们清楚的认识到了这一点，我们应当使用下面的两步来尽可能 禁止 网络攻击保护我们的网络:

尽可能 的修正已 发现的问题和系统漏洞。

辨认 ，跟踪或制止 这些令人 讨厌的机器或网络对我们的访问。

我们先来关注第二点我们面临的主要问题是如何辨认 那些歹意 攻击的主机，特别是使用谢绝 服务攻击的机器。由于 这些机器隐藏了他们自己的地址，而冒用被攻击者的地址。攻击者使用了数以千记的歹意 捏造 包来使我们的主机遭到 攻击。"tfn2k"的原理就象上面讲的这么简单，而他只不过又提供了一个形象的界面。假定 您遭到了散布 式的谢绝 服务攻击，实在是很难处理。

　　有一些简单的手法来避免 谢绝 服务式的攻击。最为常常 使用 的一种固然 是时刻关注安全信息以期待最好的方法出现。管理员应当订阅 安全信息报告，实时的关注所有安全问题的发展。：） 第二步是利用 包过滤的技术，主要是过滤对外开放的端口。这些手段主要是避免 假冒地址的攻击，使得外部机器没法 假冒内部机器的地址来对内部机器发动攻击。

　　对 应当 使用向内的包过滤还是使用向外的包过滤一直存在着争辩 。RFC　2267建议在全球范围的互连网上使用向内过滤的机制，但是这样会带来很多的麻烦，在中等级别的路由器上使用访问控制列表不会带来太大的麻烦，但是已 满载的骨干路由器上会遭到 明显的威胁 。另外一 方面，ISP如果使用向外的包过滤措施会把过载的流量转移到一些不太忙的设备 上。　ISP也不关心消费者是不是 在他们的边界路由器上使用这类 技术。固然 ，这类 过滤技术也其实不 是万无一失的，这依赖于管理人员采取 的过滤机制。

1．ICMP防护措施

　　ICMP最初开发出来是为了"帮助"网络，常常 被广域网管理员用作诊断工具。但今天各种各样的不充分的ICMP被滥用，没有遵照 RFC 792本来 制定 的标准，要履行 一定的策略可让 它变得安全一些。

　　入站的ICMP时间标记（Timestamp）和信息要求 (Information Request)数据包会得到响应，带有非法或坏参数的捏造 数据包也能产生ICMP参数问题数据包，从而允许另外一种情势 的主机搜索 。这仍使得站点没有得到适当保护。

　　以秘密情势 从主方到客户方发布命令的一种通用方法，就是使用ICMP Echo应对 数据包作为载波。 回声应对 本身不能回答，一般不会被防火墙阻塞。

　　首先，我们必须根据出站和入站处理全部 的"ICMP限制"问题。ICMP回声很容易验证远程机器，但出站的ICMP回声应当 被限制只支持个人或单个服务器/ICMP代理（首选）。

　　如果我们限制ICMP回声到一个外部IP地址（通过代理），则我们的ICMP回声应对 只能进入我们网络中预先定义的主机。

　　重定向通常可以在路由器之间找到，而不是在主机之间。防火墙规则应当 加以调剂 ，使得这些类型的ICMP只被允许在需要信息的网际连接所触及 的路由器之间进行。

　　建议所有对外的传输都经过代理，对内的ICMP传输回到代理地址的时候要经过防火墙。这最少 限制了ICMP超时数据包进入一个内部地址，但它可能阻塞超时数据包。

　　当ICMP数据包以不正确的参数发送时，会导致 数据包被抛弃 ，这时候 就会发出ICMP参数出错数据包。主机或路由器抛弃 发送的数据包，并向发送者回送参数ICMP出错数据包，指出坏的参数。

　　总的来讲 ，只有公然 地址的服务器（比如Web、电子邮件和FTP服务器）、防火墙、联入因特网的路由器有真实的 理由使用ICMP与外面的世界对话。如果调剂 适当，实际上所有使用进站和出站ICMP的隐密通讯通道都会被中断 。

2. SYN Flood防范

　　SYN Flood是当前最流行的DoS（谢绝 服务攻击）与DdoS（散布 式谢绝 服务攻击）的方式之一，这是一种利用TCP协议缺点 ，发送大量捏造 的TCP连接要求 ，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。对 SYN Flood攻击，目前尚没有很好的监测和防御方法，不过如果系统管理员熟习 攻击方法和系统架构，通过一系列的设定，也能从一定程度上降落 被攻击系统的负荷，减轻负面的影响。

　　一般来讲 ，如果一个系统（或主机）负荷突然升高乃至 失去响应，使用Netstat 命令能看到大量SYN_RCVD的半连接（数量>500或占总连接数的10%以上），可以认定，这个系统（或主机）遭到了SYN Flood攻击。遭到SYN Flood攻击后，首先要做的是取证，通过Netstat –n –p tcp >resault.txt记录目前所有TCP连接状态是必要的，如果有嗅探器，或 TcpDump之类的工具，记录TCP SYN报文的所有细节也有助于以后清查 和防御，需要记录的字段有：源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，这些信息虽然很可能 是攻击者捏造 的，但是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值，如果大量的攻击包仿佛 来自不同的IP但是TTL值却相同，我们常常 能推断出攻击者与我们之间的路由器距离，最少 也能够 通过过滤特定TTL值的报文降落 被攻击系统的负荷（在这类 情况下TTL值与攻击报文不同的用户便可 以恢复正常访问）。从防御角度来讲 ，有几种简单的解决方法：

　　2.1　缩短SYN Timeout时间:由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到肯定 这个报文无效并抛弃 改连接的时间，例如设置为20秒以下（太低 的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降落 服务器的负荷。

　　2.2　设置SYN Cookie:就是给每 个要求 连接的IP地址分配一个Cookie，如果短时间内连续遭到 某个IP的重复SYN报文，就认定是遭到 了攻击，以后从这个IP地址来的包会被抛弃 。可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

　　2.3　负反馈策略:参考一些流行的操作系统，如Windows2000的SYN攻击保护机制：正常情况下，OS对TCP连接的一些重要参数有一个常规的设置： SYN Timeout时间、SYN-ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。这个常规设置针对系统优化，可以给用户提供方便快捷的服务；一旦服务器遭到 攻击，SYN Half link 的数量超过系统中TCP活动 Half Connction最大连接数的设置，系统将会认为自己遭到 了SYN Flood攻击，并将根据攻击的判断情况作出反应：减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等等措施，力图将攻击危害减到最低。如果攻击继续，超过了系统允许的最大Half Connection 值，系统已 不能提供正常的服务了，为了保证系统不崩溃，可以将任何超出 最大Half Connection 值范围的SYN报文随机抛弃 ，保证系统的稳定性。

所以，可以事前 测试或 预测该主机在峰值时期的Half Connction 的活动数量上限，以其作为参考设定TCP活动 Half Connction最大连接数的值，然后再以该值的倍数（不要超过2）作为TCP最大Half Connection值，这样可以通过负反馈的手段在一定程度上禁止 SYN攻击。

　　2.4　让步 策略:让步 策略是基于SYN Flood攻击代码的一个缺点 ，我们重新来分析一下SYN Flood攻击者的流程：SYN Flood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析，我们的切入点正是这里：假定 一台服务器在遭到 SYN Flood攻击后迅速更换自己的IP地址，那么 攻击者仍在不断攻击的只是一个空的IP地址，并没有任何主机，而防御方只要将DNS解析更改到新的IP地址就可以 在很短的时间内（取决于DNS的刷新时间）恢复用户通过域名进行的正常访问。为了迷惑攻击者，我们乃至 可以放置一台“牺牲”服务器让攻击者满足于攻击的“效果”（由于DNS缓冲的缘由 ，只要攻击者的浏览 器不重起，他访问的仍然 是本来 的IP地址）。

　　2.5　散布 式DNS负载均衡:在众多的负载均衡架构中，基于DNS解析的负载均衡本身就具有 对SYN Flood的免疫力，基于DNS解析的负载均衡能将用户的要求 分配到不同IP的服务器主机上，攻击者攻击的永久 只是其中一台服务器，一来这样增加了攻击者的本钱 ，二来过量 的DNS要求 可以帮助我们清查 攻击者的真正踪迹 （DNS要求 不同于SYN攻击，是需要返回数据的，所以很难进行IP假装 ）。

　　2.6　防火墙Qos:对 防火墙来讲 ，防御SYN Flood攻击的方法取决于防火墙工作的基本原理，一般说来，防火墙可以工作在TCP层之上或IP层之下，工作在TCP层之上的防火墙称为网关型防火墙，网关型防火墙布局中，客户机与服务器之间并没有真实的 TCP连接，客户机与服务器之间的所有数据交换都是通过防火墙代理的，外部的DNS解析也一样 指向防火墙，所以如果网站被攻击，真正遭到 攻击的是防火墙，这类 防火墙的优点是稳定性好，抗打击能力强，但是由于 所有的TCP报文都需要经过防火墙转发，所以效力 比较低由于客户机其实不 直接与服务器建立连接，在TCP连接没有完成时防火墙不会去向后台的服务器建立新的TCP连接，所以攻击者没法 超出 防火墙直接攻击后台服务器，只要防火墙本身做的足够强健 ，这类 架构可以抵抗相当强度的SYN Flood攻击。但是由于防火墙实际建立的TCP连接数为用户连接数的两倍（防火墙两端都需要建立TCP连接），同时又代理了所有的来自客户真个 TCP要求 和数据传送，在系统访问量较大时，防火墙本身 的负荷会比较高，所以这类 架构其实不 能适用于大型网站。（我感觉，对 这样的防火墙架构，使用TCP_STATE攻击估计会相当有效:）

　　工作在IP层或IP层之下的称为路由型防火墙，其工作原理有所不同：客户机直接与服务器进行TCP连接，防火墙起的是路由器的作用，它截获所有通过的包并进行过滤，通过过滤的包被转发给服务器，外部的DNS解析也直接指向服务器，这类 防火墙的优点是效力 高，可以适应100Mbps-1Gbps的流量，但是这类 防火墙如果配置不当，不但 可让 攻击者超出 防火墙直接攻击内部服务器，乃至 有可能放大攻击的强度，导致 全部 系统崩溃。

　　在这两种基本模型以外 ，有一种新的防火墙模型，它集中了两种防火墙的优势，这类 防火墙的工作原理以下 所示：

第一阶段，客户机要求 与防火墙建立连接：
第二阶段，防火墙假装 成客户机与后台的服务器建立连接
第三阶段，以后 所有从客户机来的TCP报文防火墙都直接转发给后台的服务器

　　这类 结构吸取了上两种防火墙的优点，既能完全控制所有的SYN报文，又不需要对所有的TCP数据报文进行代理，是一种两全其美的方法。近来，国外和国内的一些防火墙厂商开始研究带宽控制技术，如果能真正做到严格控制、分配带宽，就可以 很大程度上防御绝大多数的SYN攻击。

3.Smurf防范的几种方法

　　阻塞Smurf攻击的源头:Smurf攻击依托 攻击者的气力 使用欺骗性源地址发送echo要求 。用户可使 用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以避免 这类 攻击。这样可使 欺骗性分组没法 找到反弹站点。

　　阻塞Smurf的反弹站点:用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo要求 ，这们可以避免 这些分组到达自己的网络。如果不能阻塞所有入站echo要求 ，用户就需要让自己的路由器把网络广播地址映照 成为LAN广播地址。制止了这个映照 进程 ，自己的系统就不会再收到这些echo要求 。

　　禁止 Smurf平台:为避免 系统成为 smurf攻击的平台，要将所有路由器上IP的广播功能都制止 。一般来讲 ，IP广播功能其实不 需要。 如果攻击者要成功地利用你成为攻击平台，你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络。配置路由器，让它将不是由你的内网中生成的信息包过滤出去，这是有可能做到的。这就是所谓的网络出口过滤器功能。

　　避免 Smurf攻击目标站点:除非用户的ISP愿意提供帮助，否则用户自己很难避免 Smurf对自己的WAN接连线路酿成的 影响。虽然用户可以在自己的网络设备 中阻塞这类 传输，但对 避免 Smurf吞噬所有的WAN带宽已 太晚了。但最少 用户可以把Smurf的影响限制在外围设备 上。通过使用动态分组过滤技术，或 使用防火墙，用户可以禁止 这些分组进入自己的网络。防火墙的状态表很清楚这些攻击会话不是本地网络中发出的（状态表记录中没有最初的echo要求 记录），因些它会象对待其它欺骗性攻击行动 那样把这样信息抛弃 。

4.UDP Flood防范

　　之前 文提到的trinoo为例，分析以下 ：

在master程序与代理程序的所有通讯中，trinoo都使用了UDP协议。入侵检测软件能够寻觅 使用UDP协议的数据流(类型17)。

Trinoo master程序的监听端口是27655，攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655的数据流。

所有从master程序到代理程序的通讯都包括 字符串"l44"，并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接，如果有包括 字符串l44的信息包被发送过去，那么 接受这个信息包的计算机可能就是DDoS代理。

Master和代理之间通讯遭到 口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。使用这个口令和 来自Dave Dittrich的trinot脚本http://staff.washington.edu/dittrich/misc/trinoo.analysis，要准确地验证出trinoo代理的存在是很可能 的。

一旦一个代理被准确地辨认 出来，trinoo网络便可 以安装以下 步骤被撤除 ：

在代理daemon上使用"strings"命令，将master的IP地址暴露出来。

与所有作为trinoo master的机器管理者联系，通知它们这一事件。

在master计算机上，辨认 含有代理IP地址列表的文件(默许 名"...")，得到这些计算机的IP地址列表。
向代理发送一个捏造 "trinoo"命令来制止 代理。通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动， 因此，代理计算机需要一遍一遍地被关闭，直到代理系统的管理者修复了crontab文件为止。

检查master程序的活动TCP连接，这能显示攻击者与trinoo master程序之间存在的实时连接。

如果网络正在遭受trinoo攻击，那么 系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包，它们使用同一来源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。
在http://www.fbi.gov/nipc/trinoo.htm上有一个检测和根除trinoo的自动程序。

5.使用DNS来跟踪匿名攻击

　　从一个网管的观点来看，防范的目标其实不 是仅仅禁止 谢绝 服务攻击，而是要追究到攻击的发起缘由 及操作者。当网络中有人使用假冒了源地址的工具（如tfn2k）时，我们虽然没有现成的工具来确认它的合法性，但我们可以通过使用DNS来对其进行分析：

　　假定 攻击者选定了目标www.ttttt.com，他必须首先发送一个DNS要求 来解析这个域名，通常那些攻击工具工具会自己履行 这一步，调用gethostbyname()函数或 相应的利用 程序接口，也就是说，在攻击事件产生 前的DNS要求 会提供给我们一个相干 列表，我们可以利用它来定位攻击者。

　　使用现成工具或 手工读取DNS要求 日志，来读取DNS可疑的要求 列表都是切实可行的，但是 ，它有三个主要的缺点：

　　攻击者一般会以本地的DNS为动身 点来对地址进行解析查询，因此我们查到的DNS要求 的发起者有可能不是攻击者本身，而是他所要求 的本地DNS服务器。虽然 这样，如果攻击者隐藏在一个具有 本地DNS的组织内，我们便可 以把该组织作为查询的出发点 。

　　攻击者有可能已 知道攻击目标的IP地址，或 通过其他手段（host,　ping）知道了目标的IP地址，亦或是攻击者在查询到IP地址后很长一段时间才开始攻击，这样我们就没法 从DNS要求 的时间段上来判断攻击者（或他们的本地服务器）。

　　DNS对不同的域名都有一个却省的存活时间，因此攻击者可使 用存储在DNS缓存中的信息来解析域名。为了更好做出详细的解析记录，您可以把DNS却省的TTL时间缩小，但这样会导致 DNS更多的去查询所以会加重网络带宽的使用。

6.主机防范

　　所有对因特网提供公然 服务的主机都应当 加以限制。下面建议的策略可以保护暴露在因特网上的主机。

将所有公然 服务器与DMZ隔离

提供的每种服务都应当 有自己的服务器。

如果使用Linux（建议这样做），你便可 以使用一个或几个"缓冲溢出/堆栈履行 "补丁 或增强来避免 绝大多数（如果不能全部）本地或远程缓冲溢出，以避免 这些溢出危及根的安全。强烈建议将Solar Designer的补丁 包括在附加的安全特点 中。

使用SRP（Secure Remote Password 安全远程口令）代替SSH。

限制只有内部地址才能访问支持SRP的telnet和FTP守护程序，强调只有支持SRP的客户端才可以与这些程序对话。如果你必须为公然 访问运行常规的FTP（比如匿名FTP），可以在另外一 个端口运行SRP FTP。
使用可信任的路径。根用户具有 的二进制履行 程序应当 放置的目录的所有权应当 是根，不能让全部用户或组都有写权限。如果有必要的话，为了强迫 这样做，你可以改变内核。

使用内置防火墙功能。通过打开防火墙规则，可以常常 利用内核状态表。

使用一些防端口扫描措施。这可使 用Linux的后台程序功能或通过修改内核实现。

使用Tripwire 和相同作用的软件来帮助发觉对重要文件的修改。

7.电子邮件炸弹防护

　　对 保护电子件的安全来讲 ，了解一下电子邮件的发送进程 是很有必要的。它的进程 是这样的，当有用户将邮件写好以后 首先连接到邮件服务器上，当邮件服务器有响应时便会启动邮件工具，调用路由（这里指的是邮件的路由）程序Sendmail进行邮件路由，根据邮件所附的接收地址中指定的接收主机，比如： a@163.net里的163.net，与位于主机163.net电子邮件后台守护程序建立25端口的TCP连接，建立后双方依照 SMTP协议进行交互第进，从而完成邮件的投递工作，接收方电子邮件接收邮件后，再根据接收用户名称，放置在系统的邮件目录里，如/usr/电子邮件目录的semxa文件中。接收用户一样 使用邮件工具获得 和浏览 这些已投递的邮件。如果投递失败的话，这些邮件将重新返回到发送方。实际上电子邮件的发送进程 要比这里所说的更加 复杂些，在进程 里将会触及 很多的配置文件。在现在的SMTP协议是一个基于文本的协议，理解和实现都相对比 较简单些，你可使 用telnet直接登陆到邮件服务器的25端口（由LANA授权分配给SMTP协议）进行交互。

　　保护电子信箱邮件的信息安全最有效的办法就是使用加密的签名技术，像PGP来验证邮件，通过验证可以保护到信息是从正确的地方发来的，而且在传送进程 中不被修改。但是这就不是个人用户所能到达 的了，由于 PGP比较复杂。

　　就电子邮件炸弹而言，保护还是可以做得很好的。由于 它的复杂性不是很高，多的仅仅是垃圾邮件而已。你可使 用到http://semxa.kstar.com/hacking/echom201.zip E-mail Chomper（砍信机）来保护自己。但是目前就国内用户而言，大多用户所使用的都是免费的邮箱，像yeah.net、163.net、263.net等，即便 是有人炸顶多也是留在邮件服务器上了，危害基本上是没有的。如果是用pop3接的话，可以用Outlook或Foxmail等pop的收信工具来接收的mail，大多用户使用的是windows的Outlook Express，可以在“工具－收件箱助理”中设置过滤。对 各种利用电子邮件而传播的Email蠕虫病毒和对未知的Emai蠕虫病毒你可使 用防电子邮件病毒软件来防护。

　　另外，邮件系统管理员可使 用“黑名单”来过滤一些垃圾信件。对 不同的邮件系统，大都可以在网络上找到最新的黑名单程序或 列表。

8.使用ngrep工具来处理tfn2k攻击

　　根据使用DNS来跟踪tfn2k驻留程序的原理，现在已 出现了称为ngrep的实用工具。经过修改的ngrep可以监听大约五种类型的tfn2k谢绝 服务攻击(targa3,　SYN　flood,　UDP　flood,　ICMP　flood　和　smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP要求 。如果ngrep发觉有攻击行动 的话，它会将其缓存中的内容打印出来并继续记录ICMP回应要求 。假定 攻击者通过ping目标主机的手段来铆定攻击目标的话，在攻击进程 中或以后 记录ICMP的回应要求 是一种捕获粗心的攻击者的方法。由于攻击者还很可能 使用其他的服务来核实其攻击的效果（例如web），所以对其他的标准服务也应当有尽可能 详细的日志记录。

　　还应当注意，ngrep采取 的是监听网络的手段，因此，ngrep没法 在交换式的环境中使用。但是经过修改的ngrep可以没必要 和你的DNS在同一个网段中，但是他必须位于一个可以监听到所有DNS要求 的位置。经过修改的ngrep也不关心目标地址，您可以把它放置在DMZ网段，使它能够检查横贯该网络的tfn2k攻击。从理论上讲，它也能够 很好的检测出对外的tfn2k攻击。

　　在ICMP　flood事件中，ICMP回应要求 的报告中将不包括做为tfn2k　flood一部分 的ICMP包。Ngrep还可以报告检测出来的除smurf以外 的攻击类型（TARGA,　UDP,　SYN,　ICMP等）。混合式的攻击在缺省情况下表现为ICMP攻击，除非你屏蔽了向内的ICMP回应要求 ，这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。

9.有关入侵检测系统的建议

　　由于许多用来击败基于网络的入侵检测系统的方法对绝大多数商业入侵检测系统产品仍然 是有效的，因此建议入侵检测系统应当 最少 有能重组或发觉碎片的自寻址数据包。下面是部分 要注意的事项：

确信包括了现有的所有规则，包括一些针对散布 式谢绝 服务攻击的新规则。

如果遵守 了ICMP建议项，许多ICMP会被阻塞，入侵检测系统触发器存在许多机会。任何通常情况下要被阻塞的入站或出站的ICMP数据包可以被触发。
"任何"被你用防火墙分离的网络传输都多是 一个潜伏 的IDS触发器。

如果你的入侵检测系统支持探测长时间周期的攻击，确信没有把允许通过防火墙的被信任主机排除在外。这也包括虚拟专用网。

如果你能训练每 个 使用ping的用户在ping主机时使用小数据包，便可 能设置入侵检测系统寻觅 超29字节的Echo和Echo应对 数据包。