Netflow (разработан в CISCO) предоставляет возможность анализа сетевого трафика на уровне сеансов, делая запись о каждой транзакции TCP/IP. Конечно, такая информация будет не столь подробна, как tcpdump, но в комплексе представляет довольно подробную статистику.
Под "данными сеанса" вы будете понимать совокупность пары адресов хостов, портов и объема данных. Один сеанс обозначим понятием "поток". Netflow может легко сказать вам, является ли поток в 1.5Mb/s легитимными данными от вашего Web-сервера или ваша система стала частью botnet и в данный момент DDoSит ONLamp.com.
(цитата из статьи)
Адрес:
http://dreamcatcher.ru/docs/monitor_netflow.html