當(dāng)網(wǎng)絡(luò)中有人使用假冒了源地址的工具（如tfn2k）時(shí)，我們雖然沒有現(xiàn)成的工具來(lái)確認(rèn)它的合法性，但我們可以通過(guò)使用DNS來(lái)對(duì)其進(jìn)行分析：

假如攻擊者選定了目標(biāo)www.ttttt.com，他必須首先發(fā)送一個(gè)DNS請(qǐng)求來(lái)解析這個(gè)域名，通常那些攻擊工具工具會(huì)自己執(zhí)行這一步，調(diào)用gethostbyname()函數(shù)或者相應(yīng)的應(yīng)用程序接口，也就是說(shuō)，在攻擊事件發(fā)生前的DNS請(qǐng)求會(huì)提供給我們一個(gè)相關(guān)列表，我們可以利用它來(lái)定位攻擊者。

使用現(xiàn)成工具或者手工讀取DNS請(qǐng)求日志，來(lái)讀取DNS可疑的請(qǐng)求列表都是切實(shí)可行的，然而，它有三個(gè)主要的缺點(diǎn)：

攻擊者一般會(huì)以本地的DNS為出發(fā)點(diǎn)來(lái)對(duì)地址進(jìn)行解析查詢，因此我們查到的DNS請(qǐng)求的發(fā)起者有可能不是攻擊者本身，而是他所請(qǐng)求的本地DNS服務(wù)器。盡管這樣，如果攻擊者隱藏在一個(gè)擁有本地DNS的組織內(nèi)，我們就可以把該組織作為查詢的起點(diǎn)。

攻擊者有可能已經(jīng)知道攻擊目標(biāo)的IP地址，或者通過(guò)其他手段（host,　ping）知道了目標(biāo)的IP地址，亦或是攻擊者在查詢到IP地址后很長(zhǎng)一段時(shí)間才開始攻擊，這樣我們就無(wú)法從DNS請(qǐng)求的時(shí)間段上來(lái)判斷攻擊者（或他們的本地服務(wù)器）。

DNS對(duì)不同的域名都有一個(gè)卻省的存活時(shí)間，因此攻擊者可以使用存儲(chǔ)在DNS緩存中的信息來(lái)解析域名。為了更好做出詳細(xì)的解析記錄，您可以把DNS卻省的TTL時(shí)間縮小，但這樣會(huì)導(dǎo)致DNS更多的去查詢所以會(huì)加重網(wǎng)絡(luò)帶寬的使用。