當(dāng)網(wǎng)絡(luò)中有人使用假冒了源地址的工具（如tfn2k）時，我們雖然沒有現(xiàn)成的工具來確認(rèn)它的合法性，但我們可以通過使用DNS來對其進(jìn)行分析：

假如攻擊者選定了目標(biāo)www.ttttt.com，他必須首先發(fā)送一個DNS請求來解析這個域名，通常那些攻擊工具工具會自己執(zhí)行這一步，調(diào)用gethostbyname()函數(shù)或者相應(yīng)的應(yīng)用程序接口，也就是說，在攻擊事件發(fā)生前的DNS請求會提供給我們一個相關(guān)列表，我們可以利用它來定位攻擊者。

使用現(xiàn)成工具或者手工讀取DNS請求日志，來讀取DNS可疑的請求列表都是切實可行的，然而，它有三個主要的缺點：

攻擊者一般會以本地的DNS為出發(fā)點來對地址進(jìn)行解析查詢，因此我們查到的DNS請求的發(fā)起者有可能不是攻擊者本身，而是他所請求的本地DNS服務(wù)器。盡管這樣，如果攻擊者隱藏在一個擁有本地DNS的組織內(nèi)，我們就可以把該組織作為查詢的起點。

攻擊者有可能已經(jīng)知道攻擊目標(biāo)的IP地址，或者通過其他手段（host,　ping）知道了目標(biāo)的IP地址，亦或是攻擊者在查詢到IP地址后很長一段時間才開始攻擊，這樣我們就無法從DNS請求的時間段上來判斷攻擊者（或他們的本地服務(wù)器）。

DNS對不同的域名都有一個卻省的存活時間，因此攻擊者可以使用存儲在DNS緩存中的信息來解析域名。為了更好做出詳細(xì)的解析記錄，您可以把DNS卻省的TTL時間縮小，但這樣會導(dǎo)致DNS更多的去查詢所以會加重網(wǎng)絡(luò)帶寬的使用。