Endereços IP do fluxo dos dois hosts, escritos como quatro bytes decimais separados por pontos e entendidos da mesma maneira (Ex. 130.216.234.237).

Campo Protocol do cabeçalho IP de um pacote. Os valores deste são encontrado na RFC 1060. Valores comumente encontrados são:

1 = ICMP 17 = UDP

6 = TCP 18 = OSPF

Se o TransType for TCP ou UDP, o SourceTransAddress e DestTransAddress contém o fluxo origem e destino de uma porta específica. Muitos dos valores são encontrados na RFC 1060. Alguns números de portas conhecidas são:

Netramet junta pacotes IPs fragmentados da seguinte maneira. Todos os fragmentos contém endereço par e protocolo de transporte, assim estes atributos são manipulados normalmente. O primeiro fragmento de um pacote contém um cabeçalho completo UDP ou TCP, assim o endereço de transporte (número da porta IP) está ajustado corretamente. Fragmenta-se a não ser que o primeiro não tenha a informação de cabeçalho, assim seu endereço de transporte é definido para zero.

Se o TransType (protocolo de transporte) for ICMP, o SourceTransAddress contém o tipo ICMP e DestTransAddress contém o código ICMP. Para uma descrição mais detalhada do ICMP, veja Comer, "Internetworking with TCP/IP". Valores comuns são:

0 = echo reply 5 = redirect

3 = destination unreachable 8 = echo request

Estes valores permitem fazer um gerenciamento de falhas da rede.

Semelhante a SourceTransType, este é composto de campos de 16 bits, qual esta escrito como um inteiro individual, e pode ser entendido desta forma ou como dois bytes decimais separados por pontos (Ex. 255.255 ou 65535).

Números de rede IPX do fluxo entre dois hosts, escritos em quatro bytes decimais separados por pontos, por exemplo, 130.216.0.28. Números de rede Novell são designados pelo administrador da rede, na universidade de Auckland é utilizado um servidor Novell de endereço IP como sendo um número da rede.

Um endereço IPX completo é uma combinação de número de rede e endereço ethernet. Por isso a configuração padrão do Netramet limita endereços pares para um máximo de 4 bytes, conseguindo em geral, apenas manipular números de rede IPX. Para uma máquina em uma mesmo segmento de rede de um servidor, o endereço adjacente devolve o endereço ethernet da máquina mas não no caso de pacotes IPX de outro segmento, o qual tem o endereço adjacente do roteador o qual ele pertence.

Netramet também pode usar endereços IPX completos (10 bytes). Isto é implementado pela opção FULL_IPX em tempo de compilação, é necessário mudar os arquivos Makefile e recompilar Netramet e Nemac com esta opção.

Netramet consegue entender 4 formas de encapsulamento para pacotes IPX, são elas, Raw 802.3 (com FF FF nos dois bytes seguintes ao tamanho do frame), 802.2 (com SSAP = 0E e DSAP = 0E), 802.2 SNAP e Ethernet II (com TYPE = 8137). Raw 802.3 é a encapsulação padrão para Novell 3.xx.

Protocolo do tipo XNS. Valores possíveis são encontrados na RFC 1060.

1 = informação de rota 5 = seqüência de pacotes

4 = pacotes trocados 17 = Protocolo Core Netware

Origem e destino de números de portas IPX. Estes incluem:

1105 = NCP Netware Core Protocol

1106 = SAP Service Advertising Protocol

1107 = RIP Routing Information Protocol

Endereços AppleTalk do fluxo entre dois hosts, são escritos com quatro bytes decimais separados por pontos, por exemplo, 0.129.251.0. Os primeiros dois bytes representam o número de rede do host AppleTalk (16-bit), o terceiro é o número do nodo (dinamicamente assinalado com inicializa) e o quarto sempre é zero.

Protocolo do tipo DDP AppleTalk. Alguns valores comuns são:

1 = RTMP 5 = RTMP

2 = NBP 6 = ZIP

3 = ATP 7 = ADSP

4 = EP

Número do socket AppleTalk origem e destino. Tem um número de dois bytes.

Pacotes de outros protocolos que não foram descritos entre as seções 3.3 até 3.7 são manipulados pelo Netramet como others (outros) pacotes. Seus atributos pares (Peer) são descritos a seguir, e seus atributos de transporte (Trans) são definidos como zero.

Arquivos de regras podem ser usados para contar others (outros) pacotes para descobrir que tipo de tráfego circula em um segmento de rede. Se isto por implementado, deve-se notar que o Netramet para PC gera pacotes dummy (falsos) quando a rede esta em silêncio (ele usa isto para avaliar a utilização do PC). Pacotes dummy (falsos) são um caso especial de others (outros) pacotes, assim o arquivo de regras deve testar pacotes dummy e discarta-los antes de testar pacotes others.

Campo do tipo ethernet de um pacote, escrito com dois bytes hexadecimais separados por hífen.

Campo LSAP de um cabeçalho de pacote (para pacotes 802.3), zero para outros pacotes. Escrito com dois bytes hexadecimais separados por hífen.

Interfaces correspondendo o fluxo de endereço adjacente origem e destino. As interfaces Netramet são para monitoração, sendo especificadas usando opções de linha de comando; interface 1 é a primeira especificada, 2 é a segunda e assim por diante.

Estes seis atributos não são extraídos do pacote. Ao invés eles são preparados pelo medidor durante o processamento do pacote, pela execução da função PushRuleto nas próprias regras. Ele permite que uma regra grave informações que tenham sido construídas durante o processamento do pacote. Por exemplo SourceClass e DestClass podiam estar preparadas para indicar se source (origem) e dest (destino) são endereços de hosts locais, nacionais ou internacionais. (kind = classe, tipo, espécie)

Número da regra (rule set) que o medidor usou na primeira vez que o fluxo foi observado.

Números de bytes observados na direção ‘to’ (origem para destino) e ‘from’ do fluxo.

Número de pacotes observados na direção ‘to’ (origem para destino) e ‘from’ do fluxo.

Tempo (em 1/100 de segundos desde quando o medidor foi iniciado) no qual este fluxo foi primeiro observado pelo medidor.