當來自特定來源 IP 位址所允許的 TCP 連線數目超過設定的限制時,此規則會產生警示
TMG Server 在某些現有連線關閉之前,不允許從特定的來源 IP 位址建立新的 TCP 連線,因為會超過來自於單一 IP 位址的同時 TCP 連線的數量限制。
此 IP 位址可能屬於攻擊者,或屬於遭到蠕蟲感染、而且藉由掃瞄網路找出其他易受攻擊的主機以擴散蠕蟲的主機。
若具有此 IP 位址的用戶端電腦遭受感染,請予以清理。 若大量的同時 TCP 連線數量為合法,例如用戶端電腦為伺服器或代表許多用戶端電腦的 Proxy,請將 IP 位址新增到使用自訂連線限制的電腦清單中。
若需關於 TMG Server 對於洪水攻擊之回復性的詳細資訊,請參閱產品文件。
| Target | Microsoft.Forefront.TMG.Server |
| Category | EventCollection |
| Enabled | True |
| Alert Generate | False |
| Remotable | True |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
| WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
Home
CHT <Rule ID="Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured_limit.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(15120)$</EventsPattern>
<EventType>2</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured_limit.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>