Справочный портал
PT NAD 12.2 · Справка
Русский
Администрирование PT NADНастройка лимитов обработки трафика
На­строй­ка ли­ми­тов ана­ли­за со­еди­не­ний

Вы мо­же­те на­стро­ить огра­ни­че­ния ана­ли­за со­еди­не­ний в PT NAD. Огра­ни­че­ния на­стра­и­ва­ют­ся при по­мо­щи ли­ми­тов для кон­крет­ных про­то­ко­лов, по ко­то­рым пе­ре­да­ет­ся тра­фик, или ли­ми­тов, об­щих для всех или нерас­по­знан­ных про­то­ко­лов. Если объ­ем дан­ных, пе­ре­дан­ных в со­еди­не­нии, до­сти­га­ет ли­ми­та, PT NAD при­оста­нав­ли­ва­ет ана­лиз это­го со­еди­не­ния и до­бав­ля­ет флаг PARSE_LIMIT в свой­ства сес­сии.

По умол­ча­нию ли­мит на­стро­ен для дан­ных, пе­ре­да­ва­е­мых толь­ко по DHCP, и ра­вен 32 КБ.
Зна­че­ние 0 с еди­ни­цей из­ме­ре­ния (на­при­мер, 0kb) сни­ма­ет со­от­вет­ству­ю­щее огра­ни­че­ние.
Что­бы на­стро­ить ли­ми­ты ана­ли­за со­еди­не­ний: От­крой­те файл /opt/ptsecurity/etc/ptdpi.settings.yaml:
sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml
Если вам нуж­но на­стро­ить ли­мит для кон­крет­ных про­то­ко­лов, до­бавь­те в лю­бое ме­сто в фай­ле стро­ки сле­ду­ю­ще­го вида:
  • Если на­зва­ние про­то­ко­ла при­сут­ству­ет в сек­ции protocols фай­ла /opt/ptsecurity/etc/current/ptdpi-logger.yaml:
ptdpi-logger.yaml.protocols.<Название протокола>.parse-limit: <Лимит для протокола><Единица измерения: kb, mb или gb>
На­при­мер:
ptdpi-logger.yaml.protocols.sip.parse-limit: 10kb
ptdpi-logger.yaml.protocols.tls.parse-limit: 15kb
  • Если на­зва­ния про­то­ко­ла нет в сек­ции protocols фай­ла /opt/ptsecurity/etc/current/ptdpi-logger.yaml:
ptdpi-logger.yaml.protocols.<Название протокола>: {parse-limit: <Лимит для протокола><Единица измерения: kb, mb или gb>}
На­при­мер:
ptdpi-logger.yaml.protocols.mysql: {parse-limit: 10kb}
Вы мо­же­те по­лу­чить спи­сок на­зва­ний про­то­ко­лов, вы­пол­нив ко­ман­ду /opt/ptsecurity/dpi/ptdpi --list-app-layer-protos.
Если вам нуж­но на­стро­ить ли­мит для про­то­ко­лов, ко­то­рые PT NAD не мо­жет рас­по­знать, до­бавь­те в лю­бое ме­сто в фай­ле сле­ду­ю­щую стро­ку:
ptdpi-logger.yaml.protocols._undetected_.parse-limit: <Лимит><Единица измерения: kb, mb или gb>
На­при­мер:
ptdpi-logger.yaml.protocols._undetected_.parse-limit: 30kb
Если вам нуж­но на­стро­ить ли­мит для про­то­ко­лов, ли­ми­ты для ко­то­рых не были ука­за­ны от­дель­но, до­бавь­те в лю­бое ме­сто в фай­ле сле­ду­ю­щую стро­ку:
ptdpi-logger.yaml.protocols._defaults_.parse-limit: <Лимит><Единица измерения: kb, mb или gb>
На­при­мер:
ptdpi-logger.yaml.protocols._defaults_.parse-limit: 40kb
Со­хра­ни­те из­ме­не­ния в фай­ле /opt/ptsecurity/etc/ptdpi.settings.yaml.Пе­ре­за­пу­сти­те мо­дуль ptdpi:
sudo ptdpictl restart
Ли­ми­ты ана­ли­за со­еди­не­ний на­стро­е­ны.
Настройка лимитов обработки трафика
Настройка лимитов записи PCAP