Cette règle génère des alertes lorsque la limite de connexion non-TCP d'une adresse IP spécifique a été dépassée.
TMG Server a déconnecté la session non-TCP la plus ancienne, car la limite de connexion définissant le nombre de sessions non-TCP simultanées autorisées à partir d'une adresse IP unique a été dépassée.
Cette adresse IP appartient peut-être à un hôte contaminé, ou un intrus utilise peut-être cette adresse IP falsifiée pour attaquer l'ordinateur TMG Server ou d'autres hôtes situés derrière lui.
Nettoyez l'ordinateur client auquel appartient cette adresse IP en cas d'infection ou ajoutez l'adresse IP à la liste des ordinateurs utilisant la limite de connexion personnalisée si cette adresse IP appartient à un serveur ou à un serveur proxy chaîné.
Consultez la documentation du produit pour plus d'informations sur la résistance de TMG Server face aux attaques par saturation.
Target | Microsoft.Forefront.TMG.Server |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
<Rule ID="Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was_exceeded.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(15113)$</EventsPattern>
<EventType>2</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was_exceeded.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>