Muchas veces (como ocurre con Wireshark) el sniffer viene acompañado de un analizador de paquetes (o viceversa). El sniffer se encarga de capturarlos y el analizador de comprender cómo están los datos organizados en los paquetes y presentarlos al usuario de alguna determinada forma. El sniffer puede capturar todos los paquetes que pasan por alguno de los adaptadora de red de la computadora pero no necesita para ello saber cómo se han ido encapsulando los datos en función de los diferentes protocolos que se han utilizado para construir estos paquetes. El analizador sí que debe entender de protocolos y cómo la encapsulación se ha realizado.