特定の IP アドレスに対する非 TCP 接続が上限を超えた - Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was

Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was_exceeded.Rule (Rule)

このルールでは、特定の IP アドレスに対する非 TCP 接続が上限を超えた場合に警告が生成されます

Knowledge Base article:

サマリー

TMG Server が、特定の IP アドレスからの、最も古い TCP 以外のセッションを切断しました。1 つの IP アドレスから同時に実行できる TCP 以外のセッションの数には制限があり、その制限数を超過すると、このようにセッションが切断されます。

原因

この IP アドレスは、ウイルスに感染したホストのものである可能性があります。または攻撃者が、この偽造 IP アドレスを使用して、TMG Server コンピュータまたは TMG Server コンピュータの背後にある他のホストに対して攻撃を行った可能性があります。

解決策

この IP アドレスを持つクライアントコンピュータがウイルスに感染している場合は、ウイルスを除去します。また、この IP アドレスがサーバーまたはチェーン構成されたプロキシサーバーのものである場合は、カスタム接続制限を使用するコンピュータのリストにこの IP アドレスを追加します。

外部

TMG Server のフラッド復元については、製品ドキュメントを参照してください。

Element properties:

Target	Microsoft.Forefront.TMG.Server
Category	EventCollection
Enabled	True
Alert Generate	False
Remotable	True

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Forefront.TMG.Rule.AlertGenerate.DS	Default
WA	WriteAction	Microsoft.Forefront.TMG.Rule.AlertGenerate.WA	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Forefront.TMG.Rule.AlertGenerate.DS

Default

WriteAction

Microsoft.Forefront.TMG.Rule.AlertGenerate.WA

Default

Source Code:

<Rule ID="Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was_exceeded.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>EventCollection</Category> <DataSources> <DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Application</LogName> <EventsPattern>^(15113)$</EventsPattern> <EventType>2</EventType> <SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern> </DataSource> </DataSources> <WriteActions> <WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA"> <AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_non_TCP_connection_limit_for_a_specific_IP_address_was_exceeded.AlertMessage"]$</AlertMessageId> <DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName> <Priority>1</Priority> <Severity>2</Severity> </WriteAction> </WriteActions> </Rule>