Анализ сетевого трафика проводится для обнаружения атак, предпринятых злоумышленниками, находящимися как в сети организации, так и в Интернете.
Сохранять и анализировать статистику работы маршрутизаторов, особенно — частоту срабатывания фильтров.
Применять специализированное программное обеспечение для анализа трафика для выявления выполняемых атак (NIDS — Network Intrusion Detection System). Выявлять узлы, занимающие ненормально большую долю полосы пропускания, и другие аномалии в поведении сети.
Применять программы типа arpwatch для выявления узлов, использующих нелегальные IP- или MAC-адреса.
Применять программы типа Antisniff для выявления узлов, находящихся в режиме прослушивания сети.