Avoimen lähdekoodin verkkovirtaohjelma pystyy tulkitsemaan kaikki saapuvat verkkovirrat – tai tiedot tulevista käyttäjistä – kuten Internet -protokollan (IP) osoitteen ja porttien numerot. Järjestelmänvalvojat tarvitsevat tämän tietääkseen, kuka pääsee järjestelmään ja missä tiedot menevät sisäverkkoon. Tämä auttaa järjestelmänvalvojia tekemään palomuurisääntöjä ja seuraamaan hakkereita, kun he yrittävät pilata verkon. Avoimen lähdekoodin netflow-ohjelma ei ole häiritsevä; se vain kerää paketin otsikkotiedot ja raportoi ne järjestelmänvalvojalle. Niin vähän tehdään, että verkkovirtauskeräimen toimintaan tarvitaan vähän keskusyksikön (CPU) tehoa.
Vierailijat, olivatpa he sitten sisäisiä työntekijöitä tai ulkoisia vieraita, vierailevat verkkosivustolla tai verkossa jatkuvasti. Ilman avoimen lähdekoodin verkkovirtaohjelmaa nämä kävijät voivat liikkua järjestelmässä keräämällä vain minimaalista dataa – tämä ei riitä auttamaan järjestelmänvalvojia todella suojautumaan hyökkäyksiltä. Kun verkkovirta on käytössä, järjestelmänvalvoja voi kertoa minne kävijät ovat menossa, joten hän tietää, mitkä alueet on suojattava. hän voi myös löytää järjestelmän heikkouksia. Järjestelmänvalvojat voivat simuloida verkon käyttäytymistä ilman verkkovirtaa, mutta se vie valtavan määrän resursseja, ei kuvaa sitä, miten todelliset vierailijat käyttävät järjestelmää, ja häiritsee yksityisyyttä, jos järjestelmänvalvoja työskentelee asiakkaan eikä yrityksen palveluksessa.
Yksi tärkeimmistä tavoista suojata järjestelmiä on se, että netflow auttaa järjestelmänvalvojia sieppaamaan hakkerit, jotka yrittävät palvelunestohyökkäystä. DoS -hyökkäys tapahtuu, kun joku heittää väärennettyjen vierailijoiden aaltoja järjestelmään, kunnes se kaatuu, koska verkko ei pysty käsittelemään valtavaa määrää pyyntöjä. Järjestelmänvalvojat voivat määrittää, hyökkääkö hakkerit järjestelmän ympärille, ja voivat ehkä keskeyttää DoS -yritykset.
Avoimen lähdekoodin verkkovirtaohjelmisto toimii keräämällä tietopaketti vierailijalta. Tämä paketti sisältää perustietoja, kuten IP -osoitteen, portin numeron ja reitittimen tiedot. Keräysjärjestelmä tarkastelee sitten tietoja ja tallentaa ne myöhempää tarkastusta varten. Tämä lähestymistapa ei ole häiritsevä, koska verkkovirta katsoo vain nopeasti pakettiin, kopioi tiedot eikä häiritse kävijää.
Hyvin vähän CPU -virtaa tarvitaan avoimen lähdekoodin verkkovirtaohjelman toimimiseksi. Tämä johtuu siitä, että verrattuna muihin ohjelmiin netflow tuskin tekee mitään; se tarkastelee perustietoja ja tallentaa ne sitten. Netflow-ohjelman toimintaan ei tarvita kehittyneitä laskutoimituksia tai muistia vaativia toimintoja. Tämä mahdollistaa järjestelmänvalvojien verkkovirtaohjelmiston jatkuvan käytön ilman, että se vie prosessointitehoa muista ohjelmista.