有些入侵监测程序，例如network associates’ sting，允许你建立虚假账号甚至是虚假的网络来引起攻击者的兴趣。这种目标使攻击者把时间花费在不存在的资源上，另外提醒网络管理员网络中存在可疑的活动。

　　反击的系统通常包括建立一台服务器作为目标。它们可以包括下列内容：

　　·混杂模式扫描
　　·虚假的数据库
　　·虚假的账号文件
　　·虚假文件
　　·虚假的管理员账号
　　·自动将攻击者引入虚假网络中的防火墙配置
　　·报警或惩罚黑客行为的tripwire账号
　　·物理线路追踪（试图确定黑客使用的端口或电话线路）
　　·数据包追踪（试图了解包的起源）

　　检测工作在混杂模式的网卡

　　你可以实施远程扫描来确定一块网卡是否工作在混杂模式。象antisniff这样的程序使用三种主要的方法来检测网卡是否工作于混杂模式：

　　检测网卡电子方面的变化来确定网卡的工作模式。发送各种包（arp请求，icmp包，dns请求，tcp syn floods，等等）。如果从某台主机返回的包等待了一段不正常的时间，而且没有被主机处理过的迹象，则程序便推断出该主机的网卡可能出于混杂模式。将错误的icmp请求包含在无效的以太网地址头中。所有没有工作在混杂模式的系统将忽略这些请求，而那些回复错误的icmp请求的主机将有可能出于混杂模式。

　　像antisniff这样的程序通过推论来判断网卡是否工作在混杂模式。由于这些程序只是根据有限的数据来下结论，所以容易出现误报。通常明智的做法是定时进行混杂模式检测的扫描。例如，l0pht包含其自身的调度。使用windwosnt scheduler或unix的cron程序，你可以自动实施所有扫描。l0pht还提供的unix版本的antisniff。然而你需要编译它，并且只能运行在freebsd和solaris操作系统下。

　　在linux下阻止你的系统响应任何从外部/内部来的ping请求

　　既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行。

　　echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

　　不要显示出操作系统和版本信息

　　如果你希望某个人远程登录到你的服务器时不要显示操作系统和版本信息，你能改变

　　/etc/inetd.conf中的一行象下面这样：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

　　加-h标志在最后使得telnet后台不要显示系统信息，而仅仅显示login:

　　在linux下对于linux single的保护

　　the /etc/lilo.conf file

　　a) add: restricted

　　加这一行到每一个引导映像下面，就这表明如果你引导时用(linux single),则需要一个password.

　　b) add: password=some_password

　　当与restricted联合用，且正常引导时，需要用户输入密码，你也要确保lilo.conf文件不能被不属于root的用户可读，也免看到密码明文。下面是例子：

　　编辑/etc/lilo.conf加：

　　boot=/dev/sda
　　map=/boot/map
　　install=/boot/boot.b
　　prompt
　　timeout=50
　　default=linux
　　restricted ?add this line.
　　password=some_password ?add this line.
　　image=/boot/vmlinuz-2.2.12-20
　　label=linux
　　initrd=/boot/initrd-2.2.12-10.img
　　root=/dev/sda6
　　read-only
　　[root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用户可读).
　　[root@deep]# /sbin/lilo -v (更新lilo配置).
　　[root@deep]# chattr +i /etc/lilo.conf（阻止该文件被修改）

　　禁止 control-alt-delete 重启动机器命令

　　[root@deep]# vi /etc/inittab
　　ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　to
　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　[root@deep]# /sbin/init q