NfDump В чем смысл объекта?

Нет, это, скорее всего, означает, что вы смотрите на uniflows - NfDump сообщает об обеих половинах разговора по отдельности (что типично для NetFlow), и поэтому количество байтов, которое вы ищете, будет либо в "ibyts" или просто "байты". (Кстати, есть соответствующие отсчеты для пакетов)

Если вы хотите выяснить, сколько байтов было передано в каждом направлении, то вам нужно будет сопоставить половинки uniflow. Итак, предположим, что вы смотрите на хост (IP A), который отправляет один веб-запрос на IP B. Вы должны увидеть две записи в вашем дампе: первая будет Source Address IP A с Source Port в эфемерном диапазоне (скажем, 45678) на адрес назначения IP B и порт назначения 80, по протоколу TCP, отправка нескольких пакетов и байтов. Второй будет точным обратным: исходный адрес B и исходный порт 80 на адрес назначения A и порт назначения 45678 по TCP, отправляя, вероятно, гораздо больше пакетов и байтов. Вы используете исходный IP-адрес, исходный порт, целевой IP-адрес, целевой порт и протокол, чтобы сопоставить две половины (обратите внимание также, что они также должны быть одинаковыми во время запуска, но, вероятно, не будут одинаковыми)