分散式攻擊的防範系統漏洞的措施

　　拒絕服務攻擊是一種遍佈全球的系統漏洞，黑客們正醉心於對它的研究，而無數的網路使用者將成為這種攻擊的受害者。Tribe　Flood　Network,　tfn2k,　smurf,　targa…還有許多的程式都在被不斷的開發出來。這些程式想瘟疫一樣在網路中散佈開來，使得我們的村落更為薄弱，我們不得不找出一套簡單易用的安全解決方案來應付黑暗中的攻擊。 接下來是小編為大家收集的 ，希望能幫到大家。

　　由於我們防範手段的加強，拒絕服務攻擊手法也在不斷的發展。 Tribe　Flood　Network　tfn　和tfn2k引入了一個新概念：分散式。這些程式可以使得分散在互連網各處的機器共同完成對一臺主機攻擊的操作，從而使主機看起來好象是遭到了不同位置的許多主機的攻擊。這些分散的機器由幾臺主控制機操作進行多種型別的攻擊，如UDP　flood,　SYN　flood等。

　　作業系統和網路裝置的缺陷在不斷地被發現並被黑客所利用來進行惡意的攻擊。如果我們清楚的認識到了這一點，我們應當使用下面的兩步來儘量阻止網路攻擊保護我們的網路:

　　儘可能的修正已經發現的問題和系統漏洞。

　　識別，跟蹤或禁止這些令人討厭的機器或網路對我們的訪問。

　　我們先來關注第二點我們面臨的主要問題是如何識別那些惡意攻擊的主機，特別是使用拒絕服務攻擊的機器。因為這些機器隱藏了他們自己的地址，而冒用被攻擊者的地址。攻擊者使用了數以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上面講的這麼簡單，而他只不過又提供了一個形象的介面。假如您遭到了分散式的拒絕服務攻擊，實在是很難處理。

　　有一些簡單的手法來防止拒絕服務式的攻擊。最為常用的一種當然是時刻關注安全資訊以期待最好的方法出現。管理員應當訂閱安全資訊報告，實時的關注所有安全問題的發展。： 第二步是應用包過濾的技術，主要是過濾對外開放的埠。這些手段主要是防止假冒地址的攻擊，使得外部機器無法假冒內部機器的地址來對內部機器發動攻擊。

　　對於應該使用向內的包過濾還是使用向外的包過濾一直存在著爭論。RFC　2267建議在全球範圍的互連網上使用向內過濾的機制，但是這樣會帶來很多的麻煩，在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩，但是已經滿載的骨幹路由器上會受到明顯的威脅。另一方面，ISP如果使用向外的包過濾措施會把過載的流量轉移到一些不太忙的裝置上。　ISP也不關心消費者是否在他們的邊界路由器上使用這種技術。當然，這種過濾技術也並不是萬無一失的，這依賴於管理人員採用的過濾機制。

　　1.ICMP防護措施

　　ICMP最初開發出來是為了"幫助"網路，經常被廣域網管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用，沒有遵守RFC 792原先制訂的標準，要執行一定的策略可以讓它變得安全一些。

　　入站的ICMP時間標記Timestamp和資訊請求Information Request資料包會得到響應，帶有非法或壞引數的偽造資料包也能產生ICMP引數問題資料包，從而允許另外一種形式的主機搜尋。這仍使得站點沒有得到適當保護。

　　以祕密形式從主方到客戶方釋出命令的一種通用方法，就是使用ICMP Echo應答資料包作為載波。 回聲應答本身不能回答，一般不會被防火牆阻塞。

　　首先，我們必須根據出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠端機器，但出站的ICMP回聲應該被限制只支援個人或單個伺服器/ICMP代理首選。

　　如果我們限制ICMP回聲到一個外部IP地址通過代理，則我們的ICMP回聲應答只能進入我們網路中預先定義的主機。

　　重定向通常可以在路由器之間找到，而不是在主機之間。防火牆規則應該加以調整，使得這些型別的ICMP只被允許在需要資訊的網際連線所涉及的路由器之間進行。

　　建議所有對外的傳輸都經過代理，對內的ICMP傳輸回到代理地址的時候要經過防火牆。這至少限制了ICMP超時資料包進入一個內部地址，但它可能阻塞超時資料包。

　　當ICMP資料包以不正確的引數傳送時，會導致資料包被丟棄，這時就會發出ICMP引數出錯資料包。主機或路由器丟棄傳送的資料包，並向傳送者回送引數ICMP出錯資料包，指出壞的引數。

　　總的來說，只有公開地址的伺服器比如Web、電子郵件和FTP伺服器、防火牆、聯入因特網的路由器有真正的理由使用ICMP與外面的世界對話。如果調整適當，實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。

　　2. SYN Flood防範

　　SYN Flood是當前最流行的DoS拒絕服務攻擊與DdoS分散式拒絕服務攻擊的方式之一，這是一種利用TCP協議缺陷，傳送大量偽造的TCP連線請求，從而使得被攻擊方資源耗盡CPU滿負荷或記憶體不足的攻擊方式。對於SYN Flood攻擊，目前尚沒有很好的監測和防禦方法，不過如果系統管理員熟悉攻擊方法和系統架構，通過一系列的設定，也能從一定程度上降低被攻擊系統的負荷，減輕負面的影響。

　　一般來說，如果一個系統或主機負荷突然升高甚至失去響應，使用Netstat 命令能看到大量SYN_RCVD的半連線數量>500或佔總連線數的10%以上，可以認定，這個系統或主機遭到了SYN Flood攻擊。遭到SYN Flood攻擊後，首先要做的是取證，通過Netstat –n –p tcp >resault.txt記錄目前所有TCP連線狀態是必要的，如果有嗅探器，或者TcpDump之類的工具，記錄TCP SYN報文的所有細節也有助於以後追查和防禦，需要記錄的欄位有：源地址、IP首部中的標識、TCP首部中的序列號、TTL值等，這些資訊雖然很可能是攻擊者偽造的，但是用來分析攻擊者的心理狀態和攻擊程式也不無幫助。特別是TTL值，如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同，我們往往能推斷出攻擊者與我們之間的路由器距離，至少也可以通過過濾特定TTL值的報文降低被攻擊系統的負荷在這種情況下TTL值與攻擊報文不同的使用者就可以恢復正常訪問。從防禦角度來說，有幾種簡單的解決方法：

　　2.1　縮短SYN Timeout時間:由於SYN Flood攻擊的效果取決於伺服器上保持的SYN半連線數，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效並丟棄改連線的時間，例如設定為20秒以下過低的SYN Timeout設定可能會影響客戶的正常訪問，可以成倍的降低伺服器的負荷。

　　2.2　設定SYN Cookie:就是給每一個請求連線的IP地址分配一個Cookie，如果短時間內連續受到某個IP的重複SYN報文，就認定是受到了攻擊，以後從這個IP地址來的包會被丟棄。可是上述的兩種方法只能對付比較原始的SYN Flood攻擊，縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效，SYN Cookie更依賴於對方使用真實的IP地址，如果攻擊者以數萬/秒的速度傳送SYN報文，同時利用SOCK_RAW隨機改寫IP報文中的源地址，以上的方法將毫無用武之地。

　　2.3　負反饋策略:參考一些流行的作業系統，如Windows2000的SYN攻擊保護機制：正常情況下，OS對TCP連線的一些重要引數有一個常規的設定： SYN Timeout時間、SYN-ACK的重試次數、SYN報文從路由器到系統再到Winsock的延時等等。這個常規設定針對系統優化，可以給使用者提供方便快捷的服務;一旦伺服器受到攻擊，SYN Half link 的數量超過系統中TCP活動 Half Connction最大連線數的設定，系統將會認為自己受到了SYN Flood攻擊，並將根據攻擊的判斷情況作出反應：減短SYN Timeout時間、減少SYN-ACK的重試次數、自動對緩衝區中的報文進行延時等等措施，力圖將攻擊危害減到最低。如果攻擊繼續，超過了系統允許的最大Half Connection 值，系統已經不能提供正常的服務了，為了保證系統不崩潰，可以將任何超出最大Half Connection 值範圍的SYN報文隨機丟棄，保證系統的穩定性。

　　所以，可以事先測試或者預測該主機在峰值時期的Half Connction 的活動數量上限，以其作為參考設定TCP活動 Half Connction最大連線數的值，然後再以該值的倍數不要超過2作為TCP最大Half Connection值，這樣可以通過負反饋的手段在一定程度上阻止SYN攻擊。

　　2.4　退讓策略:退讓策略是基於SYN Flood攻擊程式碼的一個缺陷，我們重新來分析一下SYN Flood攻擊者的流程：SYN Flood程式有兩種攻擊方式，基於IP的和基於域名的，前者是攻擊者自己進行域名解析並將IP地址傳遞給攻擊程式，後者是攻擊程式自動進行域名解析，但是它們有一點是相同的，就是一旦攻擊開始，將不會再進行域名解析，我們的切入點正是這裡：假設一臺伺服器在受到SYN Flood攻擊後迅速更換自己的IP地址，那麼攻擊者仍在不斷攻擊的只是一個空的IP地址，並沒有任何主機，而防禦方只要將DNS解析更改到新的IP地址就能在很短的時間內取決於DNS的重新整理時間恢復使用者通過域名進行的正常訪問。為了迷惑攻擊者，我們甚至可以放置一臺“犧牲”伺服器讓攻擊者滿足於攻擊的“效果”由於DNS緩衝的原因，只要攻擊者的瀏覽器不重起，他訪問的仍然是原先的IP地址。

　　2.5　分散式DNS負載均衡:在眾多的負載均衡架構中，基於DNS解析的負載均衡本身就擁有對SYN Flood的免疫力，基於DNS解析的負載均衡能將使用者的請求分配到不同IP的伺服器主機上，攻擊者攻擊的永遠只是其中一臺伺服器，一來這樣增加了攻擊者的成本，二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡DNS請求不同於SYN攻擊，是需要返回資料的，所以很難進行IP偽裝。

　　2.6　防火牆Qos:對於防火牆來說，防禦SYN Flood攻擊的方法取決於防火牆工作的基本原理，一般說來，防火牆可以工作在TCP層之上或IP層之下，工作在TCP層之上的防火牆稱為閘道器型防火牆，閘道器型防火牆佈局中，客戶機與伺服器之間並沒有真正的TCP連線，客戶機與伺服器之間的所有資料交換都是通過防火牆代理的，外部的DNS解析也同樣指向防火牆，所以如果網站被攻擊，真正受到攻擊的是防火牆，這種防火牆的優點是穩定性好，抗打擊能力強，但是因為所有的TCP報文都需要經過防火牆轉發，所以效率比較低由於客戶機並不直接與伺服器建立連線，在TCP連線沒有完成時防火牆不會去向後臺的伺服器建立新的TCP連線，所以攻擊者無法越過防火牆直接攻擊後臺伺服器，只要防火牆本身做的足夠強壯，這種架構可以抵抗相當強度的SYN Flood攻擊。但是由於防火牆實際建立的TCP連線數為使用者連線數的兩倍防火牆兩端都需要建立TCP連線，同時又代理了所有的來自客戶端的TCP請求和資料傳送，在系統訪問量較大時，防火牆自身的負荷會比較高，所以這種架構並不能適用於大型網站。我感覺，對於這樣的防火牆架構，使用TCP_STATE攻擊估計會相當有效:

　　工作在IP層或IP層之下的稱為路由型防火牆，其工作原理有所不同：客戶機直接與伺服器進行TCP連線，防火牆起的是路由器的作用，它截獲所有通過的包並進行過濾，通過過濾的包被轉發給伺服器，外部的DNS解析也直接指向伺服器，這種防火牆的優點是效率高，可以適應100Mbps-1Gbps的流量，但是這種防火牆如果配置不當，不僅可以讓攻擊者越過防火牆直接攻擊內部伺服器，甚至有可能放大攻擊的強度，導致整個系統崩潰。

　　在這兩種基本模型之外，有一種新的防火牆模型，它集中了兩種防火牆的優勢，這種防火牆的工作原理如下所示：

　　第一階段，客戶機請求與防火牆建立連線：

　　第二階段，防火牆偽裝成客戶機與後臺的伺服器建立連線

　　第三階段，之後所有從客戶機來的TCP報文防火牆都直接轉發給後臺的伺服器

　　這種結構吸取了上兩種防火牆的優點，既能完全控制所有的SYN報文，又不需要對所有的TCP資料報文進行代理，是一種兩全其美的方法。近來，國外和國內的一些防火牆廠商開始研究頻寬控制技術，如果能真正做到嚴格控制、分配頻寬，就能很大程度上防禦絕大多數的SYN攻擊。

　　3.Smurf防範的幾種方法

　　阻塞Smurf攻擊的源頭:Smurf攻擊依靠攻擊者的力量使用欺騙性源地址傳送echo請求。使用者可以使用路由路的訪問保證內部網路中發出的所有傳輸資訊都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。

　　阻塞Smurf的反彈站點:使用者可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求，這們可以防止這些分組到達自己的網路。如果不能阻塞所有入站echo請求，使用者就需要讓自己的路由器把網路廣播地址對映成為LAN廣播地址。制止了這個對映過程，自己的系統就不會再收到這些echo請求。

　　阻止Smurf平臺:為防止系統成為 smurf攻擊的平臺，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能並不需要。 如果攻擊者要成功地利用你成為攻擊平臺，你的路由器必須要允許資訊包以不是從你的內網中產生的源地址離開網路。配置路由器，讓它將不是由你的內網中生成的資訊包過濾出去，這是有可能做到的。這就是所謂的網路出口過濾器功能。

　　防止Smurf攻擊目標站點:除非使用者的ISP願意提供幫助，否則使用者自己很難防止Smurf對自己的WAN接連線路造成的影響。雖然使用者可以在自己的網路裝置中阻塞這種傳輸，但對於防止Smurf吞噬所有的WAN頻寬已經太晚了。但至少使用者可以把Smurf的影響限制在外圍裝置上。通過使用動態分組過濾技術，或者使用防火牆，使用者可以阻止這些分組進入自己的網路。防火牆的狀態表很清楚這些攻擊會話不是本地網路中發出的狀態表記錄中沒有最初的echo請求記錄，因些它會象對待其它欺騙性攻擊行為那樣把這樣資訊丟棄。

　　4.UDP Flood防範

　　以前文提到的trinoo為例，分析如下：

　　在master程式與代理程式的所有通訊中，trinoo都使用了UDP協議。入侵檢測軟體能夠尋找使用UDP協議的資料流型別17。

　　Trinoo master程式的監聽埠是27655，攻擊者一般藉助telnet通過TCP連線到master程式所在計算機。入侵檢測軟體能夠搜尋到使用TCP 型別6並連線到埠27655的資料流。

　　所有從master程式到代理程式的通訊都包含字串"l44"，並且被引導到代理的UDP 埠27444。入侵檢測軟體檢查到UDP 埠27444的連線，如果有包含字串l44的資訊包被髮送過去，那麼接受這個資訊包的計算機可能就是DDoS代理。

　　Master和代理之間通訊受到口令的保護，但是口令不是以加密格式傳送的，因此它可以被“嗅探”到並被檢測出來。使用這個口令以及來自Dave Dittrich的trinot指令碼

　　一旦一個代理被準確地識別出來，trinoo網路就可以安裝如下步驟被拆除：

　　在代理daemon上使用"strings"命令，將master的IP地址暴露出來。

　　與所有作為trinoo master的機器管理者聯絡，通知它們這一事件。

　　在master計算機上，識別含有代理IP地址列表的檔案預設名"..."，得到這些計算機的IP地址列表。

　　向代理髮送一個偽造"trinoo"命令來禁止代理。通過crontab 檔案在UNIX系統中的一個條目，代理可以有規律地重新啟動， 因此，代理計算機需要一遍一遍地被關閉，直到代理系統的管理者修復了crontab檔案為止。

　　檢查master程式的活動TCP連線，這能顯示攻擊者與trinoo master程式之間存在的實時連線。

　　如果網路正在遭受trinoo攻擊，那麼系統就會被UDP 資訊包所淹沒。Trinoo從同一源地址向目標主機上的任意埠傳送資訊包。探測trinoo就是要找到多個UDP資訊包，它們使用同一來源IP地址、同一目的IP地址、同一源埠，但是不同的目的埠。

　　在

　　5.使用DNS來跟蹤匿名攻擊

　　從一個網管的觀點來看，防範的目標並不是僅僅阻止拒絕服務攻擊，而是要追究到攻擊的發起原因及操作者。當網路中有人使用假冒了源地址的工具如tfn2k時，我們雖然沒有現成的工具來確認它的合法性，但我們可以通過使用DNS來對其進行分析：

　　假如攻擊者選定了目標

　　使用現成工具或者手工讀取DNS請求日誌，來讀取DNS可疑的請求列表都是切實可行的，然而，它有三個主要的缺點：

　　攻擊者一般會以本地的DNS為出發點來對地址進行解析查詢，因此我們查到的DNS請求的發起者有可能不是攻擊者本身，而是他所請求的本地DNS伺服器。儘管這樣，如果攻擊者隱藏在一個擁有本地DNS的組織內，我們就可以把該組織作為查詢的起點。

　　攻擊者有可能已經知道攻擊目標的IP地址，或者通過其他手段host,　ping知道了目標的IP地址，亦或是攻擊者在查詢到IP地址後很長一段時間才開始攻擊，這樣我們就無法從DNS請求的時間段上來判斷攻擊者或他們的本地伺服器。

　　DNS對不同的域名都有一個卻省的存活時間，因此攻擊者可以使用儲存在DNS快取中的資訊來解析域名。為了更好做出詳細的解析記錄，您可以把DNS卻省的TTL時間縮小，但這樣會導致DNS更多的去查詢所以會加重網路頻寬的使用。

　　6.主機防範

　　所有對因特網提供公開服務的主機都應該加以限制。下面建議的策略可以保護暴露在因特網上的主機。

　　將所有公開伺服器與DMZ隔離

　　提供的每種服務都應該有自己的伺服器。

　　如果使用Linux建議這樣做，你就可以使用一個或幾個"緩衝溢位/堆疊執行"補丁或增強來防止絕大多數如果不能全部本地或遠端緩衝溢位，以避免這些溢位危及根的安全。強烈建議將Solar Designer的補丁包括在附加的安全特徵中。

　　使用SRPSecure Remote Password 安全遠端口令代替SSH。

　　限制只有內部地址才能訪問支援SRP的telnet和FTP守護程式，強調只有支援SRP的客戶端才可以與這些程式對話。如果你必須為公開訪問執行常規的FTP比如匿名FTP，可以在另一個埠執行SRP FTP。

　　使用可信任的路徑。根使用者擁有的二進位制執行程式應該放置的目錄的所有權應該是根，不能讓全部使用者或組都有寫許可權。如果有必要的話，為了強制這樣做，你可以改變核心。

　　使用內建防火牆功能。通過開啟防火牆規則，可以經常利用核心狀態表。

　　使用一些防埠掃描措施。這可以使用Linux的後臺程式功能或通過修改核心實現。

　　使用Tripwire 和相同作用的軟體來幫助發覺對重要檔案的修改。

　　7.電子郵件炸彈防護

　　對於保護電子件的安全來說，瞭解一下電子郵件的傳送過程是很有必要的。它的過程是這樣的，當有使用者將郵件寫好之後首先連線到郵件伺服器上，當郵件伺服器有響應時便會啟動郵件工具，呼叫路由這裡指的是郵件的路由程式Sendmail進行郵件路由，根據郵件所附的接收地址中指定的接收主機，比如： [email protected]裡的163.net，與位於主機163.net電子郵件後臺守護程式建立25埠的TCP連線，建立後雙方按照SMTP協議進行互動第進，從而完成郵件的投遞工作，接收方電子郵件接收郵件後，再根據接收使用者名稱稱，放置在系統的郵件目錄裡，如/usr/電子郵件目錄的semxa檔案中。接收使用者同樣使用郵件工具獲取和閱讀這些已投遞的郵件。如果投遞失敗的話，這些郵件將重新返回到傳送方。實際上電子郵件的傳送過程要比這裡所說的更為複雜些，在過程裡將會涉及很多的配置檔案。在現在的SMTP協議是一個基於文字的協議，理解和實現都相對比較簡單些，你可以使用telnet直接登陸到郵件伺服器的25埠由LANA授權分配給SMTP協議進行互動。

　　保護電子信箱郵件的資訊保安最有效的辦法就是使用加密的簽名技術，像PGP來驗證郵件，通過驗證可以保護到資訊是從正確的地方發來的，而且在傳送過程中不被修改。但是這就不是個人使用者所能達到的了，因為PGP比較複雜。

　　就電子郵件炸彈而言，保護還是可以做得很好的。因為它的複雜性不是很高，多的僅僅是垃圾郵件而已。你可以使用到 E-mail Chomper砍信機來保護自己。但是目前就國內使用者而言，大多使用者所使用的都是免費的郵箱，像yeah.net、163.net、263.net等，即便是有人炸頂多也是留在郵件伺服器上了，危害基本上是沒有的。如果是用pop3接的話，可以用Outlook或Foxmail等pop的收信工具來接收的mail，大多使用者使用的是windows的Outlook Express，可以在“工具-收件箱助理”中設定過濾。對於各種利用電子郵件而傳播的Email蠕蟲病毒和對未知的Emai蠕蟲病毒你可以使用防電子郵件病毒軟體來防護。

　　另外，郵件系統管理員可以使用“黑名單”來過濾一些垃圾信件。對於不同的郵件系統，大都可以在網路上找到最新的黑名單程式或者列表。

　　8.使用ngrep工具來處理tfn2k攻擊

　　根據使用DNS來跟蹤tfn2k駐留程式的原理，現在已經出現了稱為ngrep的實用工具。經過修改的ngrep可以監聽大約五種型別的tfn2k拒絕服務攻擊targa3,　SYN　flood,　UDP　flood,　ICMP　flood　和　smurf，它還有一個迴圈使用的快取用來記錄DNS和ICMP請求。如果ngrep發覺有攻擊行為的話，它會將其快取中的內容打印出來並繼續記錄ICMP迴應請求。假如攻擊者通過ping目標主機的手段來鉚定攻擊目標的話，在攻擊過程中或之後記錄ICMP的迴應請求是一種捕獲粗心的攻擊者的方法。由於攻擊者還很可能使用其他的服務來核實其攻擊的效果例如web，所以對其他的標準服務也應當有儘量詳細的日誌記錄。

　　還應當注意，ngrep採用的是監聽網路的手段，因此，ngrep無法在交換式的環境中使用。但是經過修改的ngrep可以不必和你的DNS在同一個網段中，但是他必須位於一個可以監聽到所有DNS請求的位置。經過修改的ngrep也不關心目標地址，您可以把它放置在DMZ網段，使它能夠檢查橫貫該網路的tfn2k攻擊。從理論上講，它也可以很好的檢測出對外的tfn2k攻擊。

　　在ICMP　flood事件中，ICMP迴應請求的報告中將不包括做為tfn2k　flood一部分的ICMP包。Ngrep還可以報告檢測出來的除smurf之外的攻擊型別TARGA,　UDP,　SYN,　ICMP等。混合式的攻擊在預設情況下表現為ICMP攻擊，除非你遮蔽了向內的ICMP迴應請求，這樣它就表現為UDP或SYN攻擊。這些攻擊的結果都是基本類似的。

　　9.有關入侵檢測系統的建議

　　由於許多用來擊敗基於網路的入侵檢測系統的方法對絕大多數商業入侵檢測系統產品仍然是有效的，因此建議入侵檢測系統應該至少有能重組或發覺碎片的自定址資料包。下面是部分要注意的事項：

　　確信包括了現有的所有規則，包括一些針對分散式拒絕服務攻擊的新規則。

　　如果遵循了ICMP建議項，許多ICMP會被阻塞，入侵檢測系統觸發器存在許多機會。任何通常情況下要被阻塞的入站或出站的ICMP資料包可以被觸發。

　　"任何"被你用防火牆分離的網路傳輸都可能是一個潛在的IDS觸發器。

　　如果你的入侵檢測系統支援探測長時間週期的攻擊，確信沒有把允許通過防火牆的被信任主機排除在外。這也包括虛擬專用網。

　　如果你能訓練每個使用ping的使用者在ping主機時使用小資料包，就可能設定入侵檢測系統尋找超29位元組的Echo和Echo應答資料包。