Прохождение / Решение задания SBT Wireshark Challenge

"Недавно я начал изучать кибербезопасность и закончил курс по кибербезопасности от Google на Coursera. Затем я начал самостоятельную работу по программе Blue Team Junior Analyst Pathway Bundle от Security Blue Team, которая является полностью бесплатной. Эта статья является частью серии, в которой подробно описываются мои решения различных задач, представленных на этой платформе. В этой части я рассмотрю первую задачу, включающую анализ сетевого трафика с помощью Wireshark. Чтобы найти протокол, используемый для порта 3942, я применил фильтр "tcp.port == 3942 или udp.port == 3942" и обнаружил, что используемый протокол - SSDP (Simple Service Discovery Protocol). Для IP-адреса хоста, который пинговался дважды, я применил фильтр "icmp.type == 8" и обнаружил, что IP-адрес - 8.8.4.4. Чтобы подсчитать пакеты ответов DNS-запросов, я применил фильтр "dns.flags.response == 1" и обнаружил, что было захвачено 90 пакетов. Чтобы найти IP-адрес хоста, который отправил наибольшее количество байтов, я перешел в Statistics > Endpoints, отсортировал их по столбцу Tx Bytes и обнаружил, что IP-адрес - 115.178.9.18. Чтобы найти пароль WebAdmin, я применил фильтр "http", чтобы отобразить весь HTTP-трафик, нашел ответ на GET-запрос (кадр 4121), который является кадром 4123, и щелкнул правой кнопкой мыши по кадру 4123, чтобы выбрать "Follow > HTTP Stream". Пароль отображается в потоке как "sbt123". Чтобы найти номер версии FTP-сервера злоумышленника, я проверил первый кадр (4243) и обнаружил, что ответ - "pyftpdlib 1.5.5 ready", что указывает на то, что номер версии - 1.5.5. Чтобы найти порт, используемый для получения доступа к целевому хосту Windows, я применил фильтр "ip.src == 192.168.56.1 и ip.dst == 192.168.56.103 и tcp.flags.ack == 1" и обнаружил, что используемый порт - 8081. Чтобы найти имя конфиденциального файла на хосте Windows, я щелкнул правой кнопкой мыши по первому кадру (4130) из предыдущего шага и выбрал "Follow > TCP Stream". Имя конфиденциального файла отображается в потоке как "Employee_Information_CONFIDENTIAL.txt". Чтобы найти имя файла журнала, который был создан в 4:51 на хосте Windows, я посмотрел тот же TCP-поток, что и в предыдущем вопросе, и обнаружил, что файл журнала, созданный в 4:51, называется "LogFile.log".