根據(jù)以下異常現(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)建立相應(yīng)規(guī)則，能夠較準(zhǔn)確地監(jiān)測出DDoS攻擊。

(1)根據(jù)分析，攻擊者在進行DDoS攻擊前總要解析目標(biāo)的主機名，BIND域名服務(wù)器能夠記錄這些請求。由于每臺攻擊服務(wù)器在進行一個攻擊前會發(fā)出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務(wù)器會接收到大量的反向解析目標(biāo)IP主機名的PTR查詢請求。

(2)當(dāng)DDoS攻擊一個站點時，會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時的極限通訊流量的現(xiàn)象。現(xiàn)在的技術(shù)能夠分別對不同的源地址計算出對應(yīng)的極限值。當(dāng)明顯超出此極限值時，就表明存在DDoS攻擊的通訊。因此，可以在主干路由器端建立ACL訪問控制規(guī)則以監(jiān)測和過濾這些通訊。

(3)特大型的ICP和UDP數(shù)據(jù)包。正常的UDP會話一般都使用小的UDP包，通常有效數(shù)據(jù)內(nèi)容不超過10字節(jié)。正常的ICMP消息也不會超過64到128字節(jié)。那些尺寸明顯大得多的數(shù)據(jù)包很有可能就是控制信息通訊用的，主要含有加密后的目標(biāo)地址和一些命令選項。一旦捕獲到(沒有經(jīng)過偽造的)控制信息通訊，DDoS服務(wù)器的位置就暴露出來了，因為控制信息通訊數(shù)據(jù)包的目標(biāo)地址是沒有偽造的。

(4)不屬于正常連接通訊的TCP和UDP數(shù)據(jù)包。最隱蔽的DDoS工具隨機使用多種通訊協(xié)議(包括基于連接的協(xié)議)通過基于無連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外，那些連接到高于1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。

(5)數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符(例如，沒有空格、標(biāo)點和控制字符)的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過BASE64編碼后而只會含有BASE64字符集字符的特征。TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。TFN2K(及其變種)的特征模式是在數(shù)據(jù)段中有一串A字符(AAA)，這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒有使用BASE64編碼，對于使用了加密算法數(shù)據(jù)包，這個連續(xù)的字符就是“”。

(6)數(shù)據(jù)段內(nèi)容只包含二進制和high-bit字符的數(shù)據(jù)包。雖然此時可能在傳輸二進制文件，但如果這些數(shù)據(jù)包不屬于正常有效的通訊時，可以懷疑正在傳輸?shù)氖菦]有被BASE64編碼但經(jīng)過加密的控制信息通訊數(shù)據(jù)包(如果實施這種規(guī)則，必須將20、21、80等端口上的傳輸排除在外)。