1．硬件
 

尽管有一些产品需要特殊的硬件，但大多数的产品工作在标准的网络适配器上。如果用的是特殊的网络适配器，就能分析例如CRC错误，电压错误，电缆问题，协商错误等。
 

2．捕包驱动
 

这是最重要的部分，它从线路上捕获网络通信，并根据你的需要进行过滤，接下来将它存储在缓冲区中。
 

3．缓冲区
 

一旦从网络上捕获数据帧，它们被存在缓冲区中。存在几种的捕获方式：捕获通信，直到缓冲区被添满，或用循环的缓冲区，就是用新的数据替代老的数据。有一些产品（就像BlackIce的Sentry IDS）能以100兆比特秒的速度在硬盘上维持一个循环捕包的缓冲区。这将允许你拥有数百个成G的缓冲区而不是基于内存的不足1G的缓冲区。
 

4．实时分析
 

这个特性是网络监控所倡导的，就是在数据帧离线进行一定的分析。这能发现网络性能问题和在通信捕获中的错误。一些厂家正沿着这条路线在它们的产品中加入一些新的功能。网络入侵检测系统就是这样做的，但是它们是对于通信中黑客的行为标记进行详细的审核而不是对错误/性能问题进行处理。
 

5．解码
 

就是显示网络通信的内容，这样一名分析者将会十分容易地获得相关信息并依据这些信息分析出网络上究竟发生了什么。
 

6．包编辑/转发
 

有一些产品具有这样的特性，就是使你能编辑自己的网络包，再转发出去。
 

可见，数据捕获部分又可以分为硬件实现部分和软件实现部分，硬件部分就是相应的计算机的网络接口设备，软件部分有许多的开放源码，例如著名的libpcap以及其在Windows平台上的应用版本Winpcap等。
 

协议分析是对于获取的数据按照TCP/IP的标准进行重组和解剖，将满足应用功能的数据交给应用功能部分。例如，在为了记录WWW通信中的URL，必须将获取的数据解析到应用层。
 

应用功能部分则是根据监控目的的不同，具有不同的实现，在内容监控中，对于不同应用协议监控的实现功能是不同的。