Un programma di flusso di rete open source è in grado di interpretare tutto il flusso di rete in entrata o le informazioni sugli utenti in entrata, come l’indirizzo IP (Internet Protocol) e i numeri di porta. Gli amministratori hanno bisogno di questo per sapere chi sta ottenendo l’accesso al sistema e dove stanno andando le informazioni nella rete interna. Questo aiuta gli amministratori a creare regole del firewall e a tenere traccia degli hacker mentre tentano di rovinare la rete. Un programma netflow open source non è invadente; tutto ciò che fa è raccogliere informazioni sull’intestazione del pacchetto e riportarle all’amministratore. Viene fatto così poco che è necessaria poca potenza per l’unità di elaborazione centrale (CPU) per il funzionamento del collettore di flusso di rete.
I visitatori, siano essi lavoratori interni o ospiti esterni, visiteranno costantemente un sito Web o una rete. Senza un programma di flusso di rete open source, questi visitatori possono spostarsi nel sistema con solo una minima raccolta di dati, non abbastanza per aiutare davvero gli amministratori a proteggersi dagli attacchi. Con netflow abilitato, l’amministratore sarà in grado di dire dove stanno andando i visitatori, così saprà quali aree devono essere sorvegliate; lui o lei può anche scoprire debolezze nel sistema. Gli amministratori possono simulare il comportamento della rete senza un flusso di rete, ma richiede una quantità enorme di risorse, non rappresenta il modo in cui i visitatori reali utilizzeranno il sistema e interferirà con la privacy se l’amministratore lavora per un cliente e non per un’azienda.
Uno dei modi principali in cui questo protegge i sistemi è che netflow aiuta gli amministratori a catturare gli hacker che tentano un attacco Denial of Service (DoS). Un attacco DoS si verifica quando qualcuno lancia ondate di visitatori falsi al sistema fino a quando non si blocca perché la rete non è in grado di gestire l’enorme numero di richieste. Gli amministratori saranno in grado di determinare se gli hacker stanno frugando nel sistema e potrebbero essere in grado di bloccare i tentativi DoS.
Il modo in cui funziona il software di netflow open source consiste nel raccogliere un pacchetto di informazioni dal visitatore. Questo pacchetto conterrà informazioni di base, come indirizzo IP, numero di porta e informazioni sul router. Un sistema di raccolta esamina quindi i dati e li memorizza per un’ispezione successiva. Questo approccio non è intrusivo, perché il flusso di rete si limita a guardare rapidamente il pacchetto, copia le informazioni e non interferisce con il visitatore.
Per il funzionamento di un programma netflow open source è necessaria pochissima potenza della CPU. Questo perché, rispetto ad altri programmi, netflow non fa quasi nulla; guarda le informazioni di base e poi le registra. Non sono necessari calcoli avanzati o operazioni pesanti per la memoria per il funzionamento del programma netflow. Ciò consente agli amministratori di avere il software netflow ininterrottamente senza togliere potenza di elaborazione ad altri programmi.