If someone tries to open up several half open connections to our host, how will we know if we don&#39;t distinguish between SYN-ACK and ACK ? This implies that a connection for which an ACK was never heard would still be treated as an established connection.<br>
<br><div class="gmail_quote">On Wed, May 23, 2012 at 10:02 PM, Vern Paxson <span dir="ltr">&lt;<a href="mailto:vern@icir.org" target="_blank">vern@icir.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">&gt; Thanks. I thought the event connection_established was generated after the<br>
&gt; initial 3-way handshake is completed as mentioned here:<br>
<br>
</div>Yeah, that&#39;s in fact a documentation glitch :-(.  That describes what<br>
probably *should* be done, but in fact the event is generated on seeing<br>
the SYN-ACK (I just double-checked the code).  I wrote it that way eons<br>
ago when Bro often operated on TCP streams that had been filtered to<br>
SYN/FIN/RST packets only, which meant it wouldn&#39;t see the pure ACK completing<br>
the handshake.<br>
<span class="HOEnZb"><font color="#888888"><br>
                Vern<br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br>Sheharbano Khattak<br><br><a href="http://etheryell.com" target="_blank">http://etheryell.com</a><br><br><img src="http://etheryell.com/etheryell_sig.jpg" height="49" width="200"><br>
<br>