Un program netflow cu sursă deschisă este capabil să interpreteze toate fluxurile de rețea primite – sau informații despre utilizatorii sosiți – cum ar fi adresa IP și numerele de porturi. Administratorii au nevoie de acest lucru pentru a ști cine obține acces la sistem și unde ajung informațiile în rețeaua internă. Acest lucru îi ajută pe administratorii să stabilească reguli pentru firewall și să urmărească hackerii în timp ce încearcă să ruineze rețeaua. Un program netflow open source este non-intruziv; tot ce face este să colecteze informații despre antetul pachetului și să le raporteze administratorului. Se face atât de puțin, încât este nevoie de puțină putere pentru unitatea centrală de procesare (CPU) pentru ca colectorul netflow să funcționeze.
Vizitatorii, fie că sunt lucrători interni sau oaspeți externi, vor vizita în mod constant un site web sau o rețea. Fără un program netflow cu sursă deschisă, acești vizitatori se pot deplasa prin sistem cu doar date minime colectate – nu sunt suficiente pentru a ajuta cu adevărat administratorii să se protejeze împotriva atacurilor. Cu netflow activat, administratorul va putea spune unde merg vizitatorii, astfel încât el sau ea va ști ce zone trebuie să fie păzite; el sau ea poate descoperi, de asemenea, punctele slabe ale sistemului. Administratorii pot simula comportamentul rețelei fără un flux de rețea, dar este nevoie de o cantitate masivă de resurse, nu reprezintă modul în care vizitatorii reali vor folosi sistemul și vor interfera cu confidențialitatea dacă administratorul lucrează pentru un client și nu pentru o companie.
Una dintre modalitățile majore prin care aceasta protejează sistemele este că netflow îi ajută pe administratorii să prindă hackeri care încearcă un atac de tip Denial of Service (DoS). Un atac DoS are loc atunci când cineva aruncă valuri de vizitatori falși asupra sistemului până când acesta se prăbușește, deoarece rețeaua nu poate gestiona numărul masiv de solicitări. Administratorii vor putea determina dacă hackerii caută în sistem și pot fi capabili să întrerupă încercările de DoS.
Modul în care funcționează software-ul netflow open source este prin colectarea unui pachet de informații de la vizitator. Acest pachet va conține informații de bază, cum ar fi adresa IP, numărul de port și informații despre router. Un sistem de colectare analizează apoi datele și le stochează pentru inspecție ulterioară. Această abordare nu este intruzivă, deoarece netflow-ul se uită rapid la pachet, copiază informațiile și nu interferează cu vizitatorul.
Este nevoie de foarte puțină putere CPU pentru ca un program netflow open source să funcționeze. Acest lucru se datorează faptului că, în comparație cu alte programe, netflow nu face nimic; se uită la informații de bază și apoi le înregistrează. Nu sunt necesare calcule avansate sau operații cu memorie grea pentru ca programul netflow să funcționeze. Acest lucru permite administratorilor să aibă software-ul netflow fără oprire, fără ca acesta să ia putere de procesare de la alte programe.