當網絡中有人使用假冒了源地址的工具（如tfn2k）時，我們雖然沒有現成的工具來確認它的合法性，但我們可以通過使用DNS來對其進行分析：

假如攻擊者選定了目標www.ttttt.com，他必須首先發送一個DNS請求來解析這個域名，通常那些攻擊工具工具會自己執行這一步，調用gethostbyname()函數或者相應的應用程序接口，也就是說，在攻擊事件發生前的DNS請求會提供給我們一個相關列表，我們可以利用它來定位攻擊者。

使用現成工具或者手工讀取DNS請求日志，來讀取DNS可疑的請求列表都是切實可行的，然而，它有三個主要的缺點：

攻擊者一般會以本地的DNS為出發點來對地址進行解析查詢，因此我們查到的DNS請求的發起者有可能不是攻擊者本身，而是他所請求的本地DNS服務器。盡管這樣，如果攻擊者隱藏在一個擁有本地DNS的組織內，我們就可以把該組織作為查詢的起點。

攻擊者有可能已經知道攻擊目標的IP地址，或者通過其他手段（host,　ping）知道了目標的IP地址，亦或是攻擊者在查詢到IP地址后很長一段時間才開始攻擊，這樣我們就無法從DNS請求的時間段上來判斷攻擊者（或他們的本地服務器）。

DNS對不同的域名都有一個卻省的存活時間，因此攻擊者可以使用存儲在DNS緩存中的信息來解析域名。為了更好做出詳細的解析記錄，您可以把DNS卻省的TTL時間縮小，但這樣會導致DNS更多的去查詢所以會加重網絡帶寬的使用。