La configuration de nstreams se fait au travers des fichiers
${prefix}/etc/nstreams-networks et ${prefix}/etc/nstreams-services
nstreams analyse les sorties tcpdump (sortie directe, ou via l'option -w de tcpdump) ou bien écoute directement le traffic réseau
il peut générer des résultats sous formes de trois "langages" :
Linux ipchains
BSD ipfw
Un language lisible par l'etre humain
nstreams analyse le traffic tcp, udp et icmp, et compare les valeurs des ports par rapport a la description des protocoles faites dans ${prefix}/etc/nstreams-protocols.
Il gère les flags TCP, et confondera difficilement du traffic inconnu avec du traffic classique qui aurait lieu dans l'autre sens