Un IPS simplemente hace el mismo reensamblado de TCP que las pilas en cada extremo.
Las retransmisiones no son un problema. Cuando aparece un agujero en el tráfico (debido a un paquete perdido), el IPS reenvía los paquetes después de ese agujero, pero también guarda una copia de ellos. Debido a que está reenviando esos paquetes, no hay pérdida en la experiencia del usuario.
Cuando el paquete retransmitido llena el conjunto (completando el rompecabezas), el IPS luego analiza todos los paquetes almacenados en orden. Combina esto en una sola secuencia, por lo que las solicitudes divididas entre paquetes no son un problema. Si alguno de esos paquetes dispara una firma, el IPS bloquea el paquete retransmitido y mata la conexión TCP con los paquetes RST. Esto provocó que la víctima objetivo dejara caer los fragmentos después del agujero que estaba almacenando en el búfer.
Por lo tanto, los paquetes fluyen a través del IPS con una latencia esencialmente cero, pero al mismo tiempo, TCP se vuelve a ensamblar sin problemas.
Durante la última década, los piratas informáticos han desarrollado métodos para atacar este sistema, como la retransmisión de segmentos TCP con datos diferentes. Del mismo modo, los proveedores de IPS han desarrollado la defensa, como la combinación de sus algoritmos de reensamblado con el sistema objetivo para que pueda elegir el segmento correcto para analizar.
También tenga en cuenta que el IPS también realiza el procesamiento HTTP completo. Asimismo, hay formas de corromper las solicitudes HTTP para evadir el IPS, que los proveedores de IPS defienden.
El resultado final es que un IPS introduce solo unos 100 microsegundos (o 0,1 milisegundos) en la latencia de las solicitudes web, mientras aún maneja cosas como el reensamblado de TCP sin ningún problema.