·在代理daemon上使用"strings"命令，將master的IP地址暴露出來。

·與所有作為trinoomaster的機器管理者聯係，通知它們這一事件。

·在master計算機上，識別含有代理IP地址列表的文件(默認名"...")，得到這些計算機的IP地址列表。

·向代理發送一個偽造"trinoo"命令來禁止代理。通過crontab文件(在UNIX係統中)的一個條目，代理可以有規律地重新啟動，因此，代理計算機需要一遍一遍地被關閉，直到代理係統的管理者修複了crontab文件為止。

·檢查master程序的活動TCP連接，這能顯示攻擊者與trinoomaster程序之間存在的實時連接。

·如果網絡正在遭受trinoo攻擊，那麼係統就會被UDP信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發送信息包。探測trinoo就是要找到多個UDP信息包，它們使用同一來源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。

·在http://www.fbi.gov/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。

三、何為"TribalFloodNetwork"和"TFN2K"，如何抵禦?

TribeFloodNetwork與trinoo一樣，使用一個master程序與位於多個網絡上的攻擊代理進行通訊。TFN可以並行發動數不勝數的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。可以由TFN發動的攻擊包括：UDP衝擊、TCPSYN衝擊、ICMP回音請求衝擊以及ICMP廣播。

以下是TFNDDoS攻擊的基本特性以及建議的抵禦策略：

1、發動TFN時，攻擊者要訪問master程序並向它發送一個或多個目標IP地址，然後Master程序繼續與所有代理程序通訊，指示它們發動攻擊。

TFNMaster程序與代理程序之間的通訊使用ICMP回音應答信息包，實際要執行的指示以二進製形式包含在16位ID域中。ICMP(Internet控製信息協議)使信息包協議過濾成為可能。通過配置路由器或入侵檢測係統，不允許所有的ICMP回音或回音應答信息包進入網絡，就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序，比如ping。

TFNMaster程序讀取一個IP地址列表，其中包含代理程序的位置。這個列表可能使用如"Blowfish"的加密程序進行了加密。如果沒有加密的話，就可以從這個列表方便地識別出代理信息。

2、用於發現係統上TFN代理程序的程序是td，發現係統上master程序的程序是tfn。TFN代理並不查看ICMP回音應答信息包來自哪裏，因此使用偽裝ICMP信息包衝刷掉這些過程是可能的。

TFN2K是TFN的一個更高級的版本，它"修複"了TFN的某些缺點：

1、在TFN2K下，Master與代理之間的通訊可以使用許多協議，例如TCP、UDP或ICMP，這使得協議過濾不可能實現。

2、TFN2K能夠發送破壞信息包，從而導致係統癱瘓或不穩定。

3、TFN2K偽造IP源地址，讓信息包看起來好像是從LAN上的一個臨近機器來的，這樣就可以挫敗出口過濾和入口過濾。

4、由於TFN2K是最近剛剛被識破的，因此還沒有一項研究能夠發現它的明顯弱點。

在人們能夠對TFN2K進行更完全的分析之前，最好的抵禦方法是：

·加固係統和網絡，以防係統被當做DDoS主機。

·在邊界路由器上設置出口過濾，這樣做的原因是或許不是所有的TFN2K源地址都用內部網絡地址進行偽裝。

·請求上遊供應商配置入口過濾。

四、何為"stacheldraht"，如何防範?

Stacheldraht也是基於TFN和trinoo一樣的客戶機/服務器模式，其中Master程序與潛在的成千個代理程序進行通訊。在發動攻擊時，侵入者與master程序進行連接。Stacheldraht增加了以下新功能：攻擊者與master程序之間的通訊是加密的，以及使用rcp(remotecopy，遠程複製)技術對代理程序進行更新。

Stacheldraht同TFN一樣，可以並行發動數不勝數的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發動的攻擊包括UDP衝擊、TCPSYN衝擊、ICMP回音應答衝擊以及ICMP播放。

以下是StacheldrahtDDoS攻擊的基本特征以及建議采取的防禦措施：