<div dir="ltr">I ran the two bro versions with 6 tcpdump files and registered the differences<br>on the following table: <br><br>tcpdumpfile1,tcpdumpfile2,tcpdumpfile3,...,tcpdumpfile6<br>1.2-1.4,1.2-1.4,1.2-1.4,1.2-1.4,...,1.2-1.4<br>
<br>spontaneous_RST&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 15-1,4-3,4-1,11-19,32-1,56-1<br>spontaneous_FIN&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 10-1,8-0,9-0,85-55,25-2,71-1<br>window_recision&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 26-26,29-29,0-0,48-48,0-0,52-52<br>
SYN_seq_jump&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1-1,0-0,0-0,1-1,0-0,0-0<br>SYN_inside_connection&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1-1,0-0,0-0,0-0,0-0,0-0<br>active_connection_reuse&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1-0,0-0,0-0,0-0,0-0,0-0<br>unsolicited_SYN_response&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1-0,7-7,0-0,1-1,0-0,0-0<br>
SYN_after_close&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; 0-1,0-0,0-0,0-0,0-0,0-0<br>above_hole_data_without_any_acks&nbsp;&nbsp; 0-0,1-1,0-0,0-0,0-0,0-0<br>data_before_established&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp; &nbsp; &nbsp; 0-0,0-0,0-0,1-1,0-0,0-0<br><br><br>So,the difference is essentially around spontaneous_RST and spontaneous_FIN<br>
weird events.The dump files are for webbrowsing only traffic.I don&#39;t know if<br>this has any practical interest but that&#39;s what I get using bro-1.4prerelease,for<br>this very small sample and very limited network protocols.<br>
<br>The command line I use:<br>export BROPATH=/usr/local/bro-1.2.1/policy:/usr/local/bro-1.2.1/site<br>/usr/local/bro-1.2.1/bin/bro -r tcpdumpfile<br><br>The same for bro-1.4prerelease,but here the bro environment is set up for the<br>
directories where the policy and sig files are:<br>/usr/local/bro1.4prerelease/share/bro:/usr/local/bro1.4prerelease/share/bro/sigs<br></div>