根据使用DNS来跟踪tfn2k驻留程序的原理，现在已经出现了称为ngrep的实用工具。经过修改的ngrep（参见附录）可以监听大约五种类型的tfn2k拒绝服务攻击(targa3, SYN flood, UDP flood, ICMP flood 和 smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话，在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻击的效果（例如web），所以对其他的标准服务也应当有尽量详细的日志记录。

还应当注意，ngrep采用的是监听网络的手段，因此，ngrep无法在交换式的环境中使用。但是经过修改的ngrep可以不必和你的DNS在同一个网段中，但是他必须位于一个可以监听到所有DNS请求的位置。经过修改的ngrep也不关心目标地址，您可以把它放置在DMZ网段，使它能够检查横贯该网络的tfn2k攻击。从理论上讲，它也可以很好的检测出对外的tfn2k攻击。

运行 ngrep, 您将看到：

[root@lughnasad ngrep]# ./ngrep

Ngrep with TFN detection modifications by wiretrip / www.wiretrip.net

Watching DNS server: 10.0.0.8

interface: eth0 (10.0.0.0/255.255.0.0)

从这里开始ngrep将监听tfn2k攻击，如果检测到攻击, ngrep将在屏幕上打印：

Sun Jan 9 17:30:01 2000

A TFN2K UDP attack has been detected!

Last (5000) DNS requests:

《list of IPs that made DNS requests, up to DNS_REQUEST_MAX length》

Last (1000) ICMP echo requests (pings):

《list of IPs that made ICMP echo requests, up to ICMP_REQUEST_MAX length》

Incoming realtime ICMP echo requests (pings):

《all ICMP echo requests since the attack was detected》

以上的列表并不是唯一的，可以对它进行调整让他不仅显示是谁请求，而且请求多少次，频率为多少等等。在ICMP flood事件中，ICMP回应请求的报告中将不包括做为tfn2k flood一部分的ICMP包。Ngrep还可以报告检测出来的除smurf之外的攻击类型（TARGA, UDP, SYN, ICMP等）。混合式的攻击在缺省情况下表现为ICMP攻击，除非你屏蔽了向内的ICMP回应请求，这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。

附录- Ngrep.c with tfn2k detection

以下的代码在使用前应当更改一些参数。

通知ngrep最大的请求跟踪数（在检测攻击之前）。传输较为繁忙的网站应当增加这一数值（网络流量较为繁忙的网站DNS的请求数最好在10，000，而ICMP请求为2000-3000）

用在10秒中内有多少同一类型的攻击包来确认为真正的攻击。数目设计的越大，程序报受攻击的可能性就越小。假如您老是收到错误的警报，那么您应当增加一下这个数值。

Ngrep通过监视DNS服务器的53端口的UDP包来跟踪向内的DNS请求（只有UDP）。因此，ngrep需要知道您的DNS服务器的IP地址。