Das Feld der Analysesysteme teilt sich grundsätzlich in zwei Lager: Auf der einen Seite existieren die reinen Softwarelösungen, auf der anderen dedizierte Geräte. Softwaresysteme nutzen Standardnetzwerkkarten beziehungsweise Standardhardware (PCs) – in einigen Fällen mit Vorgaben für Netzwerkkarten bestimmter Hersteller. Ihr größtes Manko liegt traditionell in der fehlenden Garantie, wirklich jedes Paket zu verarbeiten. Erst mit Windows 2000 kam eine deutliche Verbesserung dieser Situation: Hier gibt es die Möglichkeit, auch Netzwerkkarten über DMA (Direct Memory Access) anzusprechen und damit die Performance massiv zu erhöhen. Absolute Garantien sind jedoch auch damit nicht realisierbar. Hinzu kommt, dass auch die Treiber DMA unterstützen müssen – ansonsten löst jedes Paket einen Interrupt aus. Bei einem 100-MBit/s-Full-Duplex-Link können das bis zu 288.000 Pakete pro Sekunde sein. Ein realistischer Wert liegt bei 50.000 Interrupts pro Sekunde (Erfahrungswert des Autors durch synthetische Tests).