Мероприятия по защите хоста проводятся для предотвращения атак, цель которых — перехват данных, отказ в обслуживании, или проникновение злоумышленника в операционную систему.
Запретить обработку ICMP Echo-запросов, направленных на широковещательный адрес.
Если хосты локальной сети конфигурируются динамически сервером DHCP, использовать на DHCP-сервере таблицу соответствия MAC- и IP-адресов и выдавать хостам заранее определенные IP-адреса.
Отключить все ненужные сервисы TCP и UDP (читай: отключить все сервисы, кроме явно необходимых). Под отключением сервиса мы понимаем перевод соответствующего порта из состояния LISTEN в CLOSED.
Если входящие соединения обслуживаются супердемоном inetd, то использовать оболочки или заменить inetd на супердемон типа или , позволяющий устанавливать максимальное число одновременных соединений, список разрешенных адресов клиентов, выполнять проверку легальности адреса через DNS и регистрировать соединения в лог-файле.
Использовать программу типа , позволяющую отследить попытки скрытного сканирования (например, полуоткрытыми соединениями).
Использовать статическую ARP-таблицу узлов локальной сети.
Применять средства безопасности используемых на хосте прикладных сервисов.
Использовать последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем.