Supongamos este escenario:
Alguien que intenta hackear un sitio web. Simplemente coloque: www.site.com/example.php?=<script>alert(1)</script>
Una HIDS vería este intento en el registro de acceso de Apache, a NIDS vería este intento en la sección HTTP del paquete y la WAF en la URL.
Si todos ellos están detectando el ataque, ¿por qué se necesitan todos ellos en una infraestructura?