Ett netflödesprogram med öppen källkod kan tolka alla inkommande nätflöden – eller information om inkommande användare – såsom Internet Protocol (IP)-adress och portnummer. Administratörer behöver detta för att veta vem som får tillgång till systemet och vart informationen tar vägen i det interna nätverket. Detta hjälper administratörer att skapa brandväggsregler och spåra hackare när de försöker förstöra nätverket. Ett netflow-program med öppen källkod är inte påträngande; allt det gör är att samla in pakethuvudinformation och rapportera tillbaka till administratören. Det görs så lite att det behövs lite ström från centralprocessorn (CPU) för att nätflödesuppsamlaren ska fungera.
Besökare, oavsett om de är interna anställda eller externa gäster, kommer att besöka en webbplats eller ett nätverk ständigt. Utan ett netflow-program med öppen källkod kan dessa besökare flytta runt i systemet med endast minimal data som samlas in – inte tillräckligt för att verkligen hjälpa administratörer att skydda sig mot attacker. Med netflow aktiverat kommer administratören att kunna berätta vart besökarna ska, så att han eller hon vet vilka områden som behöver bevakas; han eller hon kan också upptäcka svagheter i systemet. Administratörer kan simulera nätverksbeteende utan ett nätflöde, men det tar en enorm mängd resurser, representerar inte hur verkliga besökare kommer att använda systemet och kommer att störa integriteten om administratören arbetar för en klient och inte ett företag.
Ett av de viktigaste sätten att skydda system är att netflow hjälper administratörer att fånga hackare som försöker en DoS-attack (Denial of Service). En DoS-attack inträffar när någon kastar vågor av falska besökare mot systemet tills det kraschar eftersom nätverket inte kan hantera det enorma antalet förfrågningar. Administratörer kommer att kunna avgöra om hackare petar runt i systemet och kan eventuellt avbryta DoS-försök.
Sättet som open source netflow-programvara fungerar är genom att samla in ett paket med information från besökaren. Detta paket kommer att innehålla grundläggande information, såsom IP-adress, portnummer och routerinformation. Ett samlarsystem tittar sedan på data och lagrar dem för senare inspektion. Detta tillvägagångssätt är inte påträngande, eftersom netflowet bara tittar snabbt på paketet, kopierar informationen och inte stör besökaren.
Mycket lite CPU-kraft behövs för att ett open source netflow-program ska fungera. Detta beror på att, jämfört med andra program, gör netflow knappast någonting; den tittar på grundläggande information och registrerar den sedan. Det behövs inga avancerade beräkningar eller minnestunga operationer för att netflow-programmet ska fungera. Detta gör att administratörer kan ha netflow-programvara på nonstop utan att det tar bort processorkraften från andra program.