Un IPS esegue lo stesso rimontaggio TCP degli stack su entrambe le estremità.
Le ritrasmissioni non sono un problema. Quando un buco appare nel traffico (a causa di un pacchetto perso), l'IPS inoltra i pacchetti dopo quel buco, ma ne conserva anche una copia. Poiché sta inoltrando questi pacchetti, non c'è alcuna perdita nell'esperienza utente.
Quando il pacchetto ritrasmesso riempie l'intero (completando il puzzle), l'IPS quindi analizza tutti i pacchetti memorizzati in ordine. Combina questi in un singolo flusso, quindi le richieste divise tra pacchetti non sono un problema. Se uno qualsiasi di questi pacchetti attiva una firma, l'IPS blocca il pacchetto ritrasmesso e uccide la connessione TCP con i pacchetti RST. Ciò ha indotto la vittima di destinazione a rilasciare i frammenti dopo il buco che stava facendo il buffering.
Quindi, i pacchetti attraversano l'IPS con una latenza essenzialmente zero, ma allo stesso tempo, il TCP viene riassemblato senza problemi.
Nell'ultimo decennio, gli hacker hanno sviluppato metodi per attaccare questo sistema, come la ritrasmissione di segmenti TCP con dati diversi. Allo stesso modo, i fornitori IPS hanno sviluppato una difesa, ad esempio abbinando i loro algoritmi di riassemblaggio al sistema di destinazione in modo che possa scegliere il segmento corretto da analizzare.
Si noti inoltre che l'IPS esegue anche l'elaborazione HTTP completa. Esistono anche modi per corrompere le richieste HTTP al fine di eludere l'IPS, che i fornitori di IPS difendono.
Il risultato è che un IPS introduce solo circa 100 microsecondi (o 0,1 millisecondi) di latenza alle richieste web, mentre continua a gestire cose come il riassemblaggio di TCP senza alcun problema.