<font face="&#39;times new roman&#39;, serif" size="4">Hi,<br></font><div><div><font face="&#39;times new roman&#39;, serif" size="4"><br></font></div><div><font face="&#39;times new roman&#39;, serif"><font size="4">When I read </font><font size="4"><a href="http://www.bro-ids.org/development/dpd.html" target="_blank">http://www.bro-ids.org/development/dpd.html</a> about DPD, I always have confusion in its wording.  </font></font></div>


<div><font face="&#39;times new roman&#39;, serif" size="4"><br></font></div><div><font face="&#39;times new roman&#39;, serif"><font size="4">1. From the &quot;Class Layout&quot; picture, every analyzer is derived from class &quot;Analyzer&quot;, but the wording also says that &quot;</font></font><span class="Apple-style-span" style="color: rgb(51, 51, 51); font-family: Arial, Helvetica, sans-serif; font-size: 15px; line-height: 22px; background-color: rgb(255, 255, 255); ">The root node must always be of type <tt class="docutils literal" style="font-family: &#39;Courier New&#39;, Courier, mono; ">TransportLayerAnalyzer</tt>.</span><span class="Apple-style-span" style="font-family: &#39;times new roman&#39;, serif; "><font size="4">&quot; So which one is the real root in the Bro&#39;s code. </font><font size="4"><span style="color:rgb(51, 51, 51);line-height:22px;background-color:rgb(255, 255, 255)">yzer directly derived by &quot;Analyzer&quot;) are located in this analyzer tree structure.  </span></font></span></div>



<div><font face="&#39;times new roman&#39;, serif" size="4">2. In the section &quot;Determining Analyzer Activation&quot;, I am also confused about the method to activate the analyzer on all connections. Foo_Analyzer is derived </font><span style="color:rgb(51, 51, 51);font-family:&#39;times new roman&#39;, serif;line-height:22px;background-color:rgb(255, 255, 255);font-size:large">TCP_ApplicationAnalyzer, but why this Foo_Analyzer is added as the child of TCP_Analyzer.</span></div>

<div><span class="Apple-style-span" style="color: rgb(51, 51, 51); font-family: &#39;Courier New&#39;, Courier, mono; font-size: 15px; line-height: 22px; white-space: pre; background-color: rgb(255, 250, 226); "><span class="n" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">tcp</span><span class="o" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">-&gt;</span><span class="n" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">AddChildAnalyzer</span><span class="p" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">(</span><span class="k" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; color: rgb(0, 0, 170); ">new</span> <span class="n" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">Foo_Analyzer</span><span class="p" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">(</span><span class="n" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">conn</span></span><span class="Apple-style-span" style="color: rgb(51, 51, 51); font-family: &#39;Courier New&#39;, Courier, mono; font-size: 15px; line-height: 22px; white-space: pre; background-color: rgb(255, 250, 226); "><span class="p" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; font-style: inherit; font-size: 15px; font-family: inherit; vertical-align: baseline; ">));</span></span></div>

<div><span style="color:rgb(51, 51, 51);font-family:&#39;times new roman&#39;, serif;line-height:22px;background-color:rgb(255, 255, 255);font-size:large">So what is the differences between TCP_ApplicationAnalyzer and TCP_Analyzer. </span></div>

<div><span style="color:rgb(51, 51, 51);font-family:&#39;times new roman&#39;, serif;line-height:22px;background-color:rgb(255, 255, 255);font-size:large"><br></span></div><div><span style="color:rgb(51, 51, 51);font-family:&#39;times new roman&#39;, serif;line-height:22px;background-color:rgb(255, 255, 255);font-size:large">Hui Lin</span></div>



</div>
<br clear="all"><br>-- <br>Hui Lin<br>Research Assistant<br>DEPEND Research Group, ECE Department<br>University of Illinois at Urbana-Champaign<br><a href="mailto:hlin33@illinois.edu" target="_blank">hlin33@illinois.edu</a><br>