下面以trinoo為例分析此類攻擊的防范方法。

在master程序與代理程序的所有通訊中，trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流(類型17)。

Trinoo master程序的監聽duan kou是27655，攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP (類型6)并連接到duan kou27655的數據流。

所有從master程序到代理程序的通訊都包含字符串“l44”，并且被引導到代理的UDP duan kou27444。入侵檢測軟件檢查到UDP duan kou27444的連接，如果有包含字符串l44的信息包被發送過去，那么接受這個信息包的計算機可能就是DDoS代理。

Master和代理之間通訊受到口令的保護，但是口令不是以加密格式發送的，因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本http://staff.washington.edu/dittrich/misc/trinoo.analysis，要準確地驗證出trinoo代理的存在是很可能的。

一旦一個代理被準確地識別出來，trinoo網絡就可以安裝如下步驟被拆除：

在代理daemon上使用“strings”ming令，將master的IP地址暴露出來。

與所有作為trinoo master的機器管理者聯系，通知它們這一事件。

在master計算機上，識別含有代理IP地址列表的文件(默認名“...”)，得到這些計算機的IP地址列表。

向代理發送一個偽造“trinoo”ming令來禁止代理。通過crontab 文件(在UNIX系統中)的一個條目，代理可以有規律地重新啟動， 因此，代理計算機需要一遍一遍地被關閉，直到代理系統的管理者修復了crontab文件為止。

檢查master程序的活動TCP連接，這能顯示攻擊者與trinoo master程序之間存在的實時連接。

如果網絡正在遭受trinoo攻擊，那么系統就會被UDP 信息包所淹沒。Trinoo從同一源地址向目標主機上的任意duan kou發送信息包。探測trinoo就是要找到多個UDP信息包，它們使用同一來源IP地址、同一目的IP地址、同一源duan kou，但是不同的目的duan kou。