有些入侵監測程序，例如Network Associates’ Sting，允許你建立虛假賬號甚至是虛假的網絡來引起攻擊者的興趣。這種目標使攻擊者把時間花費在不存在的資源上，另外提醒網絡管理員網絡中存在可疑的活動。

　　反擊的系統通常包括建立一臺服務器作為目標。它們可以包括下列內容：

　　·混雜模式掃描
　　·虛假的數據庫
　　·虛假的賬號文件
　　·虛假文件
　　·虛假的管理員賬號
　　·自動將攻擊者引入虛假網絡中的防火墻配置
　　·報警或懲罰黑客行為的Tripwire賬號
　　·物理線路追蹤（試圖確定黑客使用的端口或電話線路）
　　·數據包追蹤（試圖了解包的起源）

　　檢測工作在混雜模式的網卡

　　你可以實施遠程掃描來確定一塊網卡是否工作在混雜模式。象AntiSniff這樣的程序使用三種主要的方法來檢測網卡是否工作于混雜模式：

　　檢測網卡電子方面的變化來確定網卡的工作模式。發送各種包（ARP請求，ICMP包，DNS請求，TCP SYN floods，等等）。如果從某臺主機返回的包等待了一段不正常的時間，而且沒有被主機處理過的跡象，則程序便推斷出該主機的網卡可能出于混雜模式。將錯誤的ICMP請求包含在無效的以太網地址頭中。所有沒有工作在混雜模式的系統將忽略這些請求，而那些回復錯誤的ICMP請求的主機將有可能出于混雜模式。

　　像AntiSniff這樣的程序通過推論來判斷網卡是否工作在混雜模式。由于這些程序只是根據有限的數據來下結論，所以容易出現誤報。通常明智的做法是定時進行混雜模式檢測的掃描。例如，L0pht包含其自身的調度。使用WindwosNT Scheduler或UNIX的cron程序，你可以自動實施所有掃描。L0pht還提供的UNIX版本的AntiSniff。然而你需要編譯它，并且只能運行在FreeBSD和Solaris操作系統下。

　　在Linux下阻止你的系統響應任何從外部/內部來的ping請求

　　既然沒有人能ping通你的機器并收到響應，你可以大大增強你的站點的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次啟動后自動運行。

　　echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

　　不要顯示出操作系統和版本信息

　　如果你希望某個人遠程登錄到你的服務器時不要顯示操作系統和版本信息，你能改變

　　/etc/inetd.conf中的一行象下面這樣：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

　　加-h標志在最后使得telnet后臺不要顯示系統信息，而僅僅顯示login:

　　在Linux下對于linux single的保護

　　The /etc/lilo.conf file

　　a) Add: restricted

　　加這一行到每一個引導映像下面，就這表明如果你引導時用(linux single),則需要一個password.

　　b) Add: password=some_password

　　當與restricted聯合用，且正常引導時，需要用戶輸入密碼，你也要確保lilo.conf文件不能被不屬于root的用戶可讀，也免看到密碼明文。下面是例子：

　　編輯/etc/lilo.conf加：

　　boot=/dev/sda
　　map=/boot/map
　　install=/boot/boot.b
　　prompt
　　timeout=50
　　Default=linux
　　restricted ?add this line.
　　password=some_password ?add this line.
　　image=/boot/vmlinuz-2.2.12-20
　　label=linux
　　initrd=/boot/initrd-2.2.12-10.img
　　root=/dev/sda6
　　read-only
　　[root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用戶可讀).
　　[root@deep]# /sbin/lilo -v (更新lilo配置).
　　[root@deep]# chattr +i /etc/lilo.conf（阻止該文件被修改）

　　禁止 Control-Alt-Delete 重啟動機器命令

　　[root@deep]# vi /etc/inittab
　　ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　To
　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　[root@deep]# /sbin/init q