Thử thách chứa file pcap, mở bằng wireshark chúng ta có thể thấy dữ liệu được gửi khá nhiều qua DNS, có thể sử dụng bộ lọc DNS của Wireshark  Có thể thấy được client đã truy vấn DNS rất nhiều qua các domain xxx3.thomdt.tk, xxx4.thomdt.tk, xxx5.thomdt.tk, ...  Đọc response DNS Server trả về, server phân giải domain sang địa chỉ IPv6, tuy nhiên có thể thấy rằng đây không phải địa chỉ IPv6 mà đó chính là 1 nội dung đọc được khi chuyển từ Hex sang ASCII ----> Ghép vào chúng ta sẽ được flag