Wymienione programy same w sobie nie są szkodliwe, pozwalają jednak zbierać bardzo użyteczne dla napastnika informacje i dlatego administratorzy traktują skanowanie portów jako osobistą obrazę, nazywając tę czynność dla zwiększenia efektu "agresywnym skanowaniem". Nawiasem mówiąc, niedawno amerykański sąd oddalił skargę o skanowanie cudzej sieci uznając, że nie jest to działanie naganne.

Zabezpieczenia sieci powinny tworzyć spójny i co najważniejsze - szczelny system. W tym systemie istotną rolę odgrywają elementy przełączające i rozdzielające strefy dystrybucji pakietów. Te strefy powinny być starannie zaplanowane na podstawie identyfikacji czułych miejsc w sieci i analizy ryzyka. Istotne znaczenie mają zlokalizowane na granicach stref urządzenia filtrujące pakiety: przepuszczające tylko takie pakiety, które spełniają zadane reguły.

Najprostszymi filtrami są urządzenia przełączające sieci (switches, routery), na granicach sieci zaś zlokalizowane są zapory sieciowe (firewalls) - komputery realizujące bardzo dokładny proces badania przesyłanej informacji, według złożonych reguł analizy w różnych warstwach modelu sieciowego ISO/OSI. Badanie może uwzględniać historię strumienia pakietów (statefull inspection). Filtry pakietów są bardzo skuteczne pod warunkiem starannej konfiguracji, czyli doboru reguł i ustawienia własnej ochrony zapory ogniowej. Niestety zapory sieciowe mogą być przenikane za pomocą tuneli kryptograficznych.

Wystarczy, że dwa komputery po różnych stronach zapory ustanowią połączenie szyfrowane (w ramach VPN lub po prostu SSL), a zastosowanie straci znaczna część reguł analizy pakietów.

Nieużyteczne staną się wszystkie te reguły, które odnoszą się do wyższych warstw sieciowych niż warstwa, na której odbywa się szyfrowanie pakietów. Zwykle tunelowanie osiąga się szyfrując pakiety IP, ale nawet szyfrowanie przesyłek pocztowych może osłabić ochronę antywirusową. Zapory sieciowe stanowią rzeczywiście problem dla napastnika atakującego z zewnątrz (spoza zapory). W szczególności w połączeniu z translacją adresów praktycznie uniemożliwiają bezpośredni atak na którykolwiek z komputerów poza zaporą. Oczywiście pozostaje zawsze próba wprowadzenia do wnętrza sieci konia trojańskiego, ale w przyszłości nie będzie można się z nim skontaktować z inicjatywy komputera spoza sieci lokalnej.

Ostatnio doświadczenia zdobyte w dziedzinie ochrony antywirusowej przeniesiono w dziedzinę wykrywania i zwalczania ataków komputerowych. Intruder Detection Systems (IDS), bo o nich tu mowa, wykrywają różne zachowania w sieci i na podstawie pewnych heurystyk kwalifikują (lub nie) owe zachowania jako ataki komputerowe. Stosowane są dwa rozwiązania: programy węszące ("snifujące"), przeglądające wszystkie przebiegające pakiety (tak działa np. NetProwler opracowany przez firmę Axent, obecnie Symantec), oraz programy rozpoznające atak na komputer, na którym je uruchomiono, a poddające analizie tylko te pakiety, które są adresowane do chronionego komputera (np. Intruder Alert firmy Axent lub moduł IDS z PGPNet pakietu PGP Desktop Security firmy NAI).

Osadzone na komputerze programy wykrywające ataki bywają wyposażane w zdolność filtrowania pakietów wchodzących i wychodzących z komputera nawet w przypadku, gdy nie zostaną one zakwalifikowane jako fragment wrogiej akcji. Ten rodzaj oprogramowania znany już wcześniej w systemach unixowych (TCP wrappers) stał się ostatnio niezwykle popularny w systemach Windows pod nazwą personal firewalls. Ich popularność stała się przyczyną poważnych kłopotów administratorów sieci, nękanych przez użytkowników meldunkami o rzekomych próbach włamań.

Na rynku są oferowane bardzo rozbudowane, zintegrowane systemy IDS, w których każda ze stref dystrybucji pakietów zawiera komputer - nosiciela programowego agenta IDS, podglądającego wszystkie pakiety przebiegające w segmencie sieci. Instalowany jest jeden centralny menedżer zbierający informacje od agentów. IDS komunikuje się również z zaporami ogniowymi, nakazując natychmiastową blokadę pakietów pochodzących od wykrytego napastnika. Podobnie na komputerach, które zostały uznane za szczególnie ważne, instalowane jest oprogramowanie rozpoznające próby włamania do tych komputerów i sygnalizujące swemu menedżerowi ataki.

<span class="tabTXT">Każdy serwer usług sieciowych stanowi potencjalny cel ataków hakerów. W szczególności serwery WWW prowokują do ataków, gdyż sukces jest spektakularny - każdy może go natychmiast zobaczyć.</span>