Hi, <div><br></div><div>I am new to snort and I have been playing around with rules to be able to detect exe files coming through the network. </div><div><br></div><div>One of the things I noticed when I added my rules was that the sequence number that showed up on all the alert logs were the same. The same was the case for ACKs too. </div>
<div><br></div><div>This seems odd as for subsequent packets of the exe download I get the alert with the same tcp seq number and ack!</div><div><br></div><div>How does the sequence number and ACK number thrown out by the alert logs differ from the one inside the tcp header? </div>
<div><br></div><div>Any pointers on what's exactly happening?</div><div><br></div><div>Thanks,</div><div><div>- keshi </div><div><br></div><div><br></div><br><br>
</div>