Un programa de flujo de red de código abierto es capaz de interpretar todo el flujo de red entrante, o información sobre los usuarios entrantes, como la dirección del Protocolo de Internet (IP) y los números de puerto. Los administradores necesitan esto para saber quién tiene acceso al sistema y hacia dónde va la información en la red interna. Esto ayuda a los administradores a crear reglas de firewall y rastrear a los piratas informáticos mientras intentan arruinar la red. Un programa de flujo de red de código abierto no es intrusivo; todo lo que hace es recopilar la información del encabezado del paquete e informarla al administrador. Se está haciendo tan poco que se necesita poca potencia de la unidad central de procesamiento (CPU) para que funcione el colector de flujo de red.
Los visitantes, ya sean trabajadores internos o invitados externos, visitarán un sitio web o una red constantemente. Sin un programa de flujo de red de código abierto, estos visitantes pueden moverse por el sistema con solo un mínimo de datos recopilados, lo que no es suficiente para ayudar a los administradores a protegerse contra los ataques. Con netflow habilitado, el administrador podrá saber adónde van los visitantes, de modo que sabrá qué áreas deben protegerse; él o ella también pueden descubrir debilidades en el sistema. Los administradores pueden simular el comportamiento de la red sin un flujo de red, pero requiere una gran cantidad de recursos, no representa cómo los visitantes reales usarán el sistema e interferirá con la privacidad si el administrador trabaja para un cliente y no para una empresa.
Una de las principales formas en que esto protege los sistemas es que netflow ayuda a los administradores a atrapar a los piratas informáticos que intentan un ataque de denegación de servicio (DoS). Un ataque DoS ocurre cuando alguien lanza oleadas de visitantes falsos al sistema hasta que se bloquea porque la red no puede manejar la gran cantidad de solicitudes. Los administradores podrán determinar si los piratas informáticos están husmeando en el sistema y pueden interrumpir los intentos de DoS.
La forma en que funciona el software de flujo de red de código abierto es mediante la recopilación de un paquete de información del visitante. Este paquete contendrá información básica, como la dirección IP, el número de puerto y la información del enrutador. Luego, un sistema de recopilación examina los datos y los almacena para una inspección posterior. Este enfoque no es intrusivo, porque el flujo de red simplemente mira rápidamente el paquete, copia la información y no interfiere con el visitante.
Se necesita muy poca potencia de CPU para que funcione un programa de flujo de red de código abierto. Esto se debe a que, en comparación con otros programas, netflow apenas hace nada; mira información básica y luego la registra. No se necesitan cálculos avanzados ni operaciones con mucha memoria para que funcione el programa netflow. Esto permite a los administradores tener el software de flujo de red sin parar sin quitarle poder de procesamiento a otros programas.