我们的设备可能会有多个DNS服务器，但我们认为对一台DNS服务器的支持足以证明这项技术的能力。

tfn2k SYN flood 攻击使用的 TTL值通常在200-255的范围内。估计到攻击者与目标主机之间不止50跳，因此我们可以只查找TTL时间高于150的包。假如您相信攻击者在50跳左右，那么您可以对TTL的限制进行一下更改。

编译更改过的 ngrep

编译和安装都非常简单。您仅需要使用以下之一来取代ngrep.c 文件。处于方便起见，我们可以详细说明。

这段代码只是在RedHat 6.1 和Mandrake 6.5 Linux上测试过。

首先您需要在 http://www.packetfactory.net/ngrep/ 下载ngrep，我们测试的是1.35版。

然后在 ftp://ftp.ee.lbl.gov/libpcap.tar.Z下载libpcap 我们使用的是 0.40版。

把文件放在临时文件夹里并解包，

tar xvzf libpcap.tar.Z

然后进行编译

cd libpcap-0.4; ./configure; make; make install; make install-incl

假如您遇到了困难，可以参见在libpcap-0.4目录里的README或INSTALL文件。根据我们实验的经验，如果/usr/local/include 和/usr/local/include/net目录在linux系统中不存在的话，安装会失败。加入您在安装时遇到了pcap.h 或 bpf.h的错误时你可以运行

mkdir /usr/local/include; mkdir /usr/local/include/net然后重新运行'make install-incl'。然后我们需要编译ngrep (使用我们修改过的版本)。首先解包

tar xvzf ngrep-1.35.tar.gz

然后进行配置

cd ngrep; ./configure

然后把ngrep.c复制到ngrep目录里。你可以覆盖也可以备份原始的ngrep.c文件。在这里，您应当回顾在修改过的ngrep.c里的配置，至少您应当把DNS_SERVER_IP更改为您所使用的DNS的地址。更改完毕后你就可以运行'make'，这样就建立了ngrep应用程序。

Modified ngrep.c source code

/* this code is available for download from http://www.wiretrip.net/na/ngrep.c */

/*

* $Id: ngrep.c,v 1.35 1999/10/13 16:44:16 jpr5 Exp $

*

*/

/* TFN detection code added by Rain Forest Puppy / rfp@wiretrip.net

and Night Axis / na@wiretrip.net */

/********* TFN detection defines *******************************/

/* how many DNS and ICMP requests to track */

/* flood threshold is matches per 10 seconds */

/* IP of your DNS server */

/* TFN syn uses ttl between 200-255. Assuming less than 50 hops,

flag stuff with ttl > TTL_THRESHOLD (other critera are used

as well) */