Hi<br>i run tcpdump while file(with 4MB size) is downloading with follow filter:<br>&quot;tcpdump&nbsp; -w pcapfile1 &#39;tcp and host &lt;MY IP ADDRESS&gt;&#39; &quot;<br>then i&nbsp; apply&nbsp; filtering&nbsp;  on pcapfile1:<br>&quot;tcpdump -r pcapfile1 -w pcapfile2 &#39;tcp[tcpflags]&amp;(tcp-syn|tcp-<div id=":1t" class="ArwC7c ckChnd">
fin|tcp-rst)!=0 &#39; &quot;<br>
then i measured size of data by Bro version :1.2.1<br>but results are different(on pcapfile1 is 4MB and on pcapfile2 is 1MB)<br>OS: Linux(Fedora Core 8)<br>you can perform this work and measure sum of data that is received for two files</div>
<br clear="all"><br>-- <br>Talebi Mazraeh Shahi Hossein <br>