Depende de la ubicación del IDS en relación con la red y de las capacidades del IDS.
Los ataques de suplantación ARP o DHCP se realizan dentro de la red local. Desde fuera de esta red no se ven diferentes a las conexiones normales. Por lo tanto, para detectar tales ataques, el IDS debe estar dentro de la misma red donde ocurre el ataque. Los ataques de suplantación ARP y DHCP también pueden a veces ser prevenidos por mejores enrutadores sin necesidad de un IDS.
La falsificación de DNS se puede hacer dentro de la red o desde afuera. Si el ataque ocurre dentro, un IDS fuera de la red no podrá detectar este ataque, aunque en teoría podría detectar algunos resultados del ataque. En tales resultados podría tratarse de intentar acceder a un servidor web específico en la dirección IP incorrecta que podría detectarse comparando el encabezado del Host en la solicitud con la dirección IP de destino.
Si la falsificación de DNS se realiza desde fuera de la red protegida por el IDS, entonces el IDS podría detectar tales ataques, dependiendo de lo sofisticados que sean.
Aparte de los límites teóricos que tipos de ataques pueden ser atacados debido a la ubicación del IDS en la red, hay límites prácticos en las capacidades de detección que dependen del tipo de IDS, la configuración específica, etc. Por lo tanto, incluso si los ataques en teoría podría detectarse, un IDS específico con una configuración específica podría no ser capaz de hacerlo.