Python Forensics - Ağ Zaman Protokolü
Zaman senkronizasyonu için en yaygın kullanılan ve yaygın bir uygulama olarak kabul edilen protokol, Ağ Zaman Protokolü (NTP) aracılığıyla yapılır.
NTP, sunucu ile verilen zaman kaynağı ile senkronize etmek isteyen istemci arasındaki paketleri iletmek için minimum zamanı kullanan Kullanıcı Datagram Protokolünü (UDP) kullanır.
Ağ Zaman Protokolünün özellikleri aşağıdaki gibidir -
Varsayılan sunucu bağlantı noktası 123'tür.
Bu protokol, ulusal laboratuvarlara senkronize edilmiş birçok erişilebilir zaman sunucusundan oluşur.
NTP protokol standardı IETF tarafından yönetilir ve Önerilen Standart, "Ağ Zaman Protokolü Sürüm 4: Protokol ve Algoritmalar Spesifikasyonu" [NTP RFC] başlıklı RFC 5905'tir.
İşletim sistemleri, programlar ve uygulamalar, zamanı uygun bir şekilde senkronize etmek için NTP kullanır.
Bu bölümde, üçüncü parti Python Library ntplib'den mümkün olan Python ile NTP kullanımına odaklanacağız. Bu kitaplık, sonuçları yerel sistem saatimle karşılaştıran ağır işleri verimli bir şekilde gerçekleştirir.
NTP Kitaplığını Kurmak
ntplib adresinden indirilebilir https://pypi.python.org/pypi/ntplib/ aşağıdaki şekilde gösterildiği gibi.
Kitaplık, NTP protokol alanlarını çevirebilen yöntemler yardımıyla NTP sunucularına basit bir arayüz sağlar. Bu, artık saniyeler gibi diğer anahtar değerlere erişmeye yardımcı olur.
Aşağıdaki Python programı, NTP kullanımının anlaşılmasına yardımcı olur.
import ntplib
import time
NIST = 'nist1-macon.macon.ga.us'
ntp = ntplib.NTPClient()
ntpResponse = ntp.request(NIST)
if (ntpResponse):
now = time.time()
diff = now-ntpResponse.tx_time
print diff;Yukarıdaki program aşağıdaki çıktıyı üretecektir.
Zamandaki fark yukarıdaki programda hesaplanır. Bu hesaplamalar adli soruşturmalarda yardımcı olur. Elde edilen ağ verileri temelde sabit sürücüde bulunan verilerin analizinden farklıdır.
Saat dilimlerindeki fark veya doğru saat dilimlerinin elde edilmesi, bu protokol aracılığıyla mesajların yakalanması için kanıtların toplanmasına yardımcı olabilir.