下面以trinoo為例分析此類攻擊的防范方法。

在master程序與代理程序的所有通訊中，trinoo都使用了UDP協(xié)議。入侵檢測(cè)軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流(類型17)。

Trinoo master程序的監(jiān)聽(tīng)duan kou是27655，攻擊者一般借助telnet通過(guò)TCP連接到master程序所在計(jì)算機(jī)。入侵檢測(cè)軟件能夠搜索到使用TCP (類型6)并連接到duan kou27655的數(shù)據(jù)流。

所有從master程序到代理程序的通訊都包含字符串“l44”，并且被引導(dǎo)到代理的UDP duan kou27444。入侵檢測(cè)軟件檢查到UDP duan kou27444的連接，如果有包含字符串l44的信息包被發(fā)送過(guò)去，那么接受這個(gè)信息包的計(jì)算機(jī)可能就是DDoS代理。

Master和代理之間通訊受到口令的保護(hù)，但是口令不是以加密格式發(fā)送的，因此它可以被“嗅探”到并被檢測(cè)出來(lái)。使用這個(gè)口令以及來(lái)自Dave Dittrich的trinot腳本http://staff.washington.edu/dittrich/misc/trinoo.analysis，要準(zhǔn)確地驗(yàn)證出trinoo代理的存在是很可能的。

一旦一個(gè)代理被準(zhǔn)確地識(shí)別出來(lái)，trinoo網(wǎng)絡(luò)就可以安裝如下步驟被拆除：

在代理daemon上使用“strings”ming令，將master的IP地址暴露出來(lái)。

與所有作為trinoo master的機(jī)器管理者聯(lián)系，通知它們這一事件。

在master計(jì)算機(jī)上，識(shí)別含有代理IP地址列表的文件(默認(rèn)名“...”)，得到這些計(jì)算機(jī)的IP地址列表。

向代理發(fā)送一個(gè)偽造“trinoo”ming令來(lái)禁止代理。通過(guò)crontab 文件(在UNIX系統(tǒng)中)的一個(gè)條目，代理可以有規(guī)律地重新啟動(dòng)， 因此，代理計(jì)算機(jī)需要一遍一遍地被關(guān)閉，直到代理系統(tǒng)的管理者修復(fù)了crontab文件為止。

檢查master程序的活動(dòng)TCP連接，這能顯示攻擊者與trinoo master程序之間存在的實(shí)時(shí)連接。

如果網(wǎng)絡(luò)正在遭受trinoo攻擊，那么系統(tǒng)就會(huì)被UDP 信息包所淹沒(méi)。Trinoo從同一源地址向目標(biāo)主機(jī)上的任意duan kou發(fā)送信息包。探測(cè)trinoo就是要找到多個(gè)UDP信息包，它們使用同一來(lái)源IP地址、同一目的IP地址、同一源duan kou，但是不同的目的duan kou。