このルールでは、特定の IP アドレスに対する非 TCP 接続が上限を超えた場合に警告が生成されます
TMG Server が、特定の IP アドレスからの、最も古い TCP 以外のセッションを切断しました。1 つの IP アドレスから同時に実行できる TCP 以外のセッションの数には制限があり、その制限数を超過すると、このようにセッションが切断されます。
この IP アドレスは、ウイルスに感染したホストのものである可能性があります。または攻撃者が、この偽造 IP アドレスを使用して、TMG Server コンピュータまたは TMG Server コンピュータの背後にある他のホストに対して攻撃を行った可能性があります。
この IP アドレスを持つクライアント コンピュータがウイルスに感染している場合は、ウイルスを除去します。また、この IP アドレスがサーバーまたはチェーン構成されたプロキシ サーバーのものである場合は、カスタム接続制限を使用するコンピュータのリストにこの IP アドレスを追加します。
TMG Server のフラッド復元については、製品ドキュメントを参照してください。
Target | Microsoft.Forefront.TMG.Server |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
<Rule ID="Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was_exceeded.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(15113)$</EventsPattern>
<EventType>2</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was_exceeded.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>