<P>Hello!</P>
<P>&nbsp;</P>
<P>Can I ask a question about Bro?</P>
<P>I want to dump the packets of certain connections to a pcap file. I used the function "dump_packets_of_connection" when the the event "connection_state_remove" happen.</P>
<P>But I found that the first packet (always the SYN packet) of the connection was missed in the pcap file.<BR>And I tryed to dump all the packets to a file using the function "dump_current_packet" in the event "tcp_packet". I found that the second packet of a connection was dumped twice but the first packet (the SYN packet) was missed.</P>
<P>It occured again when I print the data of the all the packets.</P>
<P>&nbsp;</P>
<P>How can I&nbsp;get the first packet and dump it?</P>
<P>Thanks!</P>
<P>&nbsp;</P>
<P>Owen Ma</P>
<P>08.01.13</P>
<P>&nbsp;</P>
<P>&nbsp;</P>
<P><BR><BR><BR><BR>&nbsp;</P><SPAN id=spnSignFirst></SPAN><SPAN id=spnSign></SPAN><br><br><iframe name=mail001 marginwidth=0 marginheight=0 src="http://news.21cn.com/shtml.21cn.com/2007/11/13/mail_bottom.html" width=90% scrolling=no height=50 designtimesp="1840" frameborder="0"></iframe>