根據(jù)使用DNS來跟蹤tfn2k駐留程序的原理，現(xiàn)在已經(jīng)出現(xiàn)了稱為ngrep的實用工具。經(jīng)過修改的ngrep可以監(jiān)聽大約五種類型的tfn2k拒絕服務(wù)攻擊(targa3,SYN　flood,UDP　flood,ICMP flood和smurf)，它還有一個循環(huán)使用的緩存用來記錄DNS和ICMP請求。如果ngrep發(fā)覺有攻擊行為的話，它會將其緩存中的內(nèi)容打印出來并繼續(xù)記錄ICMP回應(yīng)請求。假如攻擊者通過ping目標(biāo)主機的手段來鉚定攻擊目標(biāo)的話，在攻擊過程中或之后記錄ICMP的回應(yīng)請求是一種捕獲粗心的攻擊者的方法。由于攻擊者還很可能使用其他的服務(wù)來核實其攻擊的效果（例如web），所以對其他的標(biāo)準(zhǔn)服務(wù)也應(yīng)當(dāng)有盡量詳細(xì)的日志記錄。

還應(yīng)當(dāng)注意，ngrep采用的是監(jiān)聽網(wǎng)絡(luò)的手段，因此，ngrep無法在交換式的環(huán)境中使用。但是經(jīng)過修改的ngrep可以不必和你的DNS在同一個網(wǎng)段中，但是他必須位于一個可以監(jiān)聽到所有DNS請求的位置。經(jīng)過修改的ngrep也不關(guān)心目標(biāo)地址，您可以把它放置在DMZ網(wǎng)段，使它能夠檢查橫貫該網(wǎng)絡(luò)的tfn2k攻擊。從理論上講，它也可以很好的檢測出對外的tfn2k攻擊。

在ICMP　flood事件中，ICMP回應(yīng)請求的報告中將不包括做為tfn2k　flood一部分的ICMP包。Ngrep還可以報告檢測出來的除smurf之外的攻擊類型（TARGA,　UDP,　SYN,　ICMP等）。混合式的攻擊在缺省情況下表現(xiàn)為ICMP攻擊，除非你屏蔽了向內(nèi)的ICMP回應(yīng)請求，這樣它就表現(xiàn)為UDP或SYN攻擊。這些攻擊的結(jié)果都是基本類似的。