کاهش ناگهانی طول مسیرها در شبکه می‌تواند به عنوان نشانه‌ای از امکان وجود حمله‌ی تونل‌کرم مورد استفاده قرار گیرد.
اگر مقدار تأخیر یک مسیر با حاصل جمع تأخیر گام به گام گره‌های موجود در آن مسیر برابر نباشد، می‌توان به وجود تونل‌کرم شک نمود.
۳-۶ پروتکل ارائه شده توسط F.N‌‌ Abdosselam ]21[
F.N Abdosselam و همکارانش‌ در دانشگاه Lille فرانسه در سال ۲۰۰۸ فرایند کشف لینک مشکوک را در دو مرحله انجام می‌‌دهند:
مرحله‌ی اول بسته‌ی سلام به همه‌ی گره‌های درون محدوده‌ی انتقالش ارسال می‌شود، هرگیرنده‌ی پیام سلام آدرس فرستنده و تأخیر زمانی مانده(∆) تا زمان تعیین شده را برای ارسال پیام سلام بعدی‌اش ثبت می‌کند. سپس زمان رسیدن پیام سلام را بررسی می‌کند که آیا این پیام در داخل زمان تعیین شده رسیده است یا نه؟ اگر پاسخ مثبت باشد لینک میان خود و گره ارسال‌کننده امن است، در غیر این‌صورت لینک مشکوک می‌باشد و ارتباط با آن گره به حالت تعلیق درمی‌آید.

در مرحله‌ی دوم فرستنده یک بسته‌ی جستجو را برای همه‌ی گره‌هایی که در مرحله‌ی قبلی به حالت تعلیق درآمده‌اند ارسال می‌کند. اگر اطلاعات برای گره دلخواهی چون X درون زمان تعیین شده‌اش دریافت شده بود مجدداً به بررسی امن بودن گره X می‌پردازد. در غیر این صورت وجود تونل‌کرم اثبات شده است.
۷-۳ پروتکل ارائه شده توسط khinsandarwin ]۲۲[‌: این پروتکل توسط Khinsandarwin در دانشگاه Mandalay در سال ۲۰۰۸ پیشنهاد داده است. براساس این پروتکل مبدأ پس از ارسال پیام RREQ منتظر پیام RREP می‌ماند. طبیعتاً چندین پیام پاسخ را که از مسیرهای مختلف رسیده‌اند، دریافت می‌کند. سپس طبق فرمول‌های زیر Pmax را محاسبه می‌کند.
R: مجموعه‌ای از مسیرهای به دست آمده Li: i امین لینک
ni : تعداد دفعاتی که Li در R ظاهر می‌شود. Pi: فرکانس نسبی که Li در R ظاهر می‌شود.
اگر Pmax از مقدار آستانه‌ی P بیشتر باشد گره متخاصم است.
۳-۸ پروتکل ارائه شده توسط HVU ]۲۳[ : این پروتکل در سال ۲۰۰۸ در دانشگاه Texas ارائه شد که شامل دو فاز می‌باشد: فاز اول که شامل دو متد می‌باشد. در متد اول زمان گردش دورانی میان گره مبدأ و تمام همسایگان میانی‌اش بررسی می‌شود. در متد دوم گره مبدأ از میان مجموعه‌ی همسایگانشان به شناسایی گره‌هایی می‌پردازد که در فاصله‌ی یک گام و دو گامی‌اش قرار گرفته‌اند، اگر به این نتیجه برسد که گره مقصد در همسایگی گره مبدأ نمی‌باشد لینک میان آن‌ها مورد شک واقع می‌شود.
فاز دوم تأیید وجود تونل‌کرم با بهره گرفتن از روش ^[۵۵] RTS/CTS می‌باشد. تونل‌کرم گذردهی یا توان عملیاتی شبکه را کاهش می‌دهد. وجود تونل‌کرم می‌تواند با تغییرات ناگهانی در طول مسیر از مبدأ تا مقصد کشف شود.
۳-۹ پروتکل‌ PACKET LEASHES ]۲۴[: این پروتکل سال ۲۰۰۳ در دانشگاه Carnegie Mellon توسط Yih chun Hu و همکارانش ارائه شد.
۳-۹-۱ تعریف LEASH: عبارت است از هر اطلاعاتی که به بسته اضافه می‌شود برای محدود کردن حداکثر فاصله‌ی انتقال مجاز بسته.
۳-۹-۲ انواع LEASH:
جغرافیایی^[۵۶] که تضمین می‌کند گیرنده‌ی بسته در فاصله‌ی معینی از فرستنده قرار دارد.
موقتی^[۵۷] که تضمین می‌کند بسته کران بالاتری^[۵۸] در زمان حیات خودش دارد که حداکثر فاصله‌ی حرکت بسته را محدود می‌کند زیرا بسته می‌تواند با سرعت نور حرکت کند.
.
برای ساخت یک LEASH جغرافیایی هر گره باید موقعیت خودش را بداند. زمان ارسال بسته، گره فرستنده مکان خود (ps) و زمان ارسال بسته (ts) را در بسته قرار می‌دهد و گیرنده به هنگام دریافت، این مقادیر را با مکان خود (pr) و زمان دریافت بسته (tr) مقایسه می‌کند.
طبق فرمول زیر کران بالای فاصله‌ی میان فرستنده و گیرنده محاسبه می‌شود:
اگر فرستنده و گیرنده به اندازه ی ∆+ و ∆- هم‌گام شده باشند و V کران بالای سرعت هر گره باشد این کران‌گذاری میان فرستنده و گیرنده نمی‌تواند از حمله‌های تونل‌کرم جلوگیری کند. مثلاً زمانی که موانعی میان دو گره وجود دارد که مانع برقراری ارتباط میان آن‌ها می‌شود. اما شبکه‌ای که از اطلاعات مکانی برای ساخت یک LEASH جغرافیایی استفاده کند حتی این نوع حمله‌های تونل‌کرم را نیز کنترل خواهد کرد. برای ایجاد یک LEASH موقتی همه‌ی گره‌ها باید هم‌گام شده باشند به طوری که اختلاف میان زمان هم‌گامی دو گره ∆ باشد. با بهره گرفتن از LEASH های موقتی گره فرستنده هنگام ارسال بسته زمان ارسال (ts) را در بسته قرار می‌دهد و هنگام دریافت بسته گره گیرنده این مقدار با زمانی که بسته در آن دریافت شده است یعنی (tr) مقایسه می‌کند، گیرنده با بررسی زمان دریافت و مقایسه آن با مهلت زمانی در نظر گرفته شده برای بسته قادر به تشخیص حمله‌ی تونل‌کرم خواهد بود. اگر بسته بعد از انقضای مهلت زمانی رسیده باشد، گیرنده نباید بسته را مورد پذیرش قرار دهد.
عیب LEASH ها این است که ممکن است گره فرستنده زمان دقیق ارسال بسته را نداند.
پروتکلی به نامTIK ^[۵۹] ، LEASH های موقتی را پیاده‌سازی کرده و گیرنده را برای تشخیص حمله‌ی تونل‌کرم فعال می‌کند. این پروتکل بر پایه‌ی اصول رمزنگاری متقارن می‌باشد و نیازمند همزمان‌سازی دقیق میان تمام بخش‌های ارتباطی می‌باشد.
۳-۱۰ پروتکل ارائه شده توسط Marianne A. Azer ]25[: MarianneA.Azer سال ۲۰۱۰ در دانشگاه sheriff برای کشف حمله‌ی تونل‌کرم پروتکلی پیشنهاد داد که شامل مراحل زیر می‌باشد: مسیریابی شبکه‌ی نرمال، اندازه‌گیری پارامترهای تونل‌کرم، شکل‌دهی^[۶۰] شبکه، انتخاب مسیر با استفاده ازپنالتی‌ها و بالاخره کشف تجاوز‌ها و حمله‌ها.
مسیریابی شبکه‌ی نرمال: این بخش بر پایه‌ی AODV است، انتخاب مسیر براساس حداقل تعداد گام‌ها بوده، شمارنده‌ای در جدول مسیریابی تعداد دفعاتی که هر گره در مسیریابی برای یک مقصد خاص شرکت داده شده است را می‌شمارد.
اندازه‌گیری پارامترهای تونل‌کرم: این فاز درست مانند بررسی کامل یک مریض عمل می‌کند، در طول این فاز بعضی پارامترها مانند سرعت رسیدن بسته‌ها بر گام، قدرت و توان انتقال گره و …سنجیده می‌شوند که بعداً در شناسایی گره‌های متخاصم کمک خواهند کرد.
شکل‌دهی شبکه: بسته‌های RREQ یا RREP توسط گره دلخواه X دریافت می‌شوند، گره X تعداد گام‌های پیشنهاد شده توسط بسته‌ را با تعدادی که توسط ورودی‌های جدول مسیریابی پیشنهاد شده‌اند مقایسه می‌کند.
گره M با حداقل فاصله توسط گرهX انتخاب می‌شود، سپس به شمارش تعداد دفعات شرکت گره M در عملیات مسیریابی توسط گره X می‌پردازد، اگر تعداد دفعات از آستانه‌ی Ti پیش‌فرض تجاوز کند X می‌پذیرد که M یک گره متخاصم است.
گره‌های موجود در مسیرنقش‌های زیر را می‌توانند بپذیرند:

1. 1. EA^[61] ۲-EM^[62] ۳-LM^[63] ۴-LD^[64] .

انتخاب مسیر با بهره گرفتن از پنالتی‌‌ها: گرهX پس از دریافت بسته‌ی RREQ وRREP از گره N چک می‌کند که آیا گره N یک مدخل در جدول مسیریابی‌اش هست یا نه؟ اگر N در جدول مسیریابی نباشد بدین معناست که با آن گره در ارتباط مستقیم نمی‌باشد پس با توجه به نقش گره یک پنالتی متناظر را مطابق با نوع آن اضافه می‌کتد. برای مثال اگر نقش‌ها EM،EA ،LM یا LD باشند به ترتیب به تعداد گام‌ها PLD ,PLM ,PEA ,PEM را اضافه می کنند. گره X تعداد گام خود به انضمام پنالتی‌های اضافه شده‌ی مربوط به گره N,M را با هم مقایسه می‌کند و یکی از آن‌ها با حداقل تعداد گام را انتخاب می‌کند. گرهX به وسیله‌ی گره منتخب جدول مسیریابی خود را به روزرسانی می‌کند.
کشف تجاوز: اگر در جریان تبادل پیغام‌های سلام گره از آستانه T تجاوز کند پیغامی برای تمام گره‌ها منتشر می‌شود که گره مذکور را به عنوان متخاصم اعلام نماید.
۳-۱۰-۱ مزایا:
از جمله مزایای این پروتکل می‌توان به سادگی، عدم پیچیدگی و سازگار بودن با ساختار شبکه‌های موردی با منابع محدود اشاره نمود. تنها عیب این روش افزایش دادن تأخیر انتها به انتها^[۶۵] می‌باشد.
۳-۱۱ پروتکل ^[۶۶] WHOP ]۲۶[: Saurabh Gupta و همکارانش سال ۲۰۱۱ در دانشگاه دهلی پروتکل تشخیص حمله‌ی تونل‌کرم با بهره گرفتن از بسته‌ی جستجو^[۶۷] را پیشنهاد دادند. این پروتکل به اختصار WHOP نامیده می‌شود. WHOP بر پایه‌ی AODV بوده و می‌تواند به طور مؤثر حمله‌ی تونل‌کرم و همچنین گره‌هایی که باعث ایجاد این حمله می‌شوند را کشف کند. در WHOP یک بسته‌ی جستجو با عنوان HOUND بعد از کشف مسیر بر پایه‌ی AODV فرستاده می‌شود. این بسته توسط همه‌ی گره‌ها پردازش خواهد شد به جز گره‌هایی که در طول برپایی مسیر از مبدأ تا مقصد بوده‌اند. بعد از ارسال بسته‌ی RREQ توسط گره مبدأ و انتشار آن توسط همه‌ی گره‌ها به جز گره مقصد و پاسخ آن با بسته‌ی RREP، گره مبدأ بسته‌ی HOUND را می‌سازد.
بسته‌ی سلام: این پروتکل عملکرد بسته‌ی سلام را اصلاح می‌کند، یعنی اگر گره‌ای پیام سلام را دریافت کند و سطری از گره همسایه‌اش در جدول مسیریابی خود پیدا نکند، سطری با آدرس IP مقصد می‌سازد که گره همسایه‌اش شود.
بسته‌ی RREP: در این پروتکل هر گره شناسه‌اش را در بسته‌ی RREP ذخیره می‌کند. همان‌طور که گفته شد فرستنده بسته‌ی HOUND را که شامل شناسه‌ی همه گره‌ها در طول مسیر مبدأ به مقصد می‌باشد می‌سازد. این بسته دارای فیلدهای زیر است:
- بیت پردازش^[۶۸] : که می‌تواند هر یک از مقادیر صفر یا یک را به خود بگیرد.
- تعداد گام کلی^[۶۹] : برای جلوگیری از ایجاد حلقه در شبکه استفاده شده است. فرض کنید فاصله‌ی بین مبدأ و مقصد بیش از N گام نباشد، اگر مقدار این فیلد به N برسد، گره آن را به منشر نخواهد کرد و بسته را حذف می‌کند.
- فیلد ^[۷۰] CRNH : بیان‌گر تعداد تا رسیدن به گام بعدی می‌باشد.
- شماره‌ی توالی: برای تشخیص تازگی بسته‌ی جستجو استفاده شده است.
مطابق شکل، زمانی که گره P بسته‌ی HOUND را دریافت می‌کند می‌فهمد که گره A همسایه‌اش است، پس فیلد CRNH ورودی A را افزایش می‌دهد و بیت پردازش آن را یک می‌کند و بسته را به Q می‌فرستد.
شکل ۳-۵: پردازش بسته. ]۲۶[.
در قسمت a گره Q همسایه‌ی گره‌های B،C وD می‌باشد، شماره‌ی اولین مدخلی که بیت پردازش صفر دارد (یعنی مدخل B) را افزایش می‌دهد و بیت پردازش گره‌های B، C وD را روی یک تنظیم کرده و بسته را به همسایه‌اش منشر می‌کند.
در قسمت b گرهQ همسایه‌ی گره D است، فیلد CRNH اولین مدخلی که بیت پردازش صفر دارد را افزایش می‌دهد و بیت پردازش B وC وD را یک می‌کند و بسته را به همسایه‌اش منتشر می‌کند.
پردازش بسته‌ی HOUND در گره مقصد: برای تشخیص حمله‌ی تونل‌کرم گره مقصد برای هر مدخل بسته‌ی HOUND جدولی می‌سازد، سپس محاسباتی بر روی بسته‌ی HOUND انجام می‌شود. پروتکل WHOP پروتکل بسیار امنی در مقابل هر فعالیت متخاصمانه است. حمله‌ی تونل‌کرم پنهان در این پروتکل امکان ندارد زیرا اگر هم بسته هویت خود را در حین انتشار RREQ یا RREP پنهان کند، گره‌ای که چنین بسته‌ای را بعد از آن دریافت می‌کند، بسته را نمی‌پذیرد و آن را حذف می‌کند.