Python取证网络时间协议
用于同步时间的最广泛使用的协议是通过网络时间协议 (NTP) 完成的,并且已被广泛接受为一种实践。
NTP 使用用户数据报协议 (UDP),该协议使用最短时间在服务器和希望与给定时间源同步的客户端之间传送数据包。
网络时间协议的特点如下:
-
默认服务器端口为 123。
-
该协议由许多与国家实验室同步的可访问时间服务器组成。
-
NTP 协议标准由 IETF 管理,提议的标准是 RFC 5905,标题为“网络时间协议版本 4:协议和算法规范”[NTP RFC]
-
操作系统、程序和应用程序使用 NTP 以适当的方式同步时间。
在本章中,我们将重点介绍 NTP 与 Python 的使用,这在第三方 Python 库 ntplib 中是可行的。这个库有效地处理繁重的工作,将结果与我的本地系统时钟进行比较。
安装 NTP 库
The ntplib 可在以下位置下载 https://pypi.python.org/pypi/ntplib/ 如下图所示。
该库借助可以转换 NTP 协议字段的方法为 NTP 服务器提供了一个简单的接口。这有助于访问其他关键值,例如闰秒。
以下 Python 程序有助于理解 NTP 的使用。
import ntplib import time NIST = 'nist1-macon.macon.ga.us' ntp = ntplib.NTPClient() ntpResponse = ntp.request(NIST) if (ntpResponse): now = time.time() diff = now-ntpResponse.tx_time print diff;
上述程序将产生以下输出。
在上述程序中计算时间差。这些计算有助于法医调查。获得的网络数据与分析硬盘上的数据有着根本的不同。
时区差异或获得准确的时区有助于收集证据以通过此协议捕获消息。