Mit dieser Regel werden Alarme generiert, wenn die Anzahl der TCP-Verbindungen von einer bestimmten Quell-IP-Adresse den festgelegten Höchstwert überschritten hat.
TMG Server ermöglicht erst dann wieder die Herstellung neuer TCP-Verbindungen von einer bestimmten Quell-IP-Adresse, wenn einige der vorhandenen Verbindungen geschlossen wurden. Das Verbindungslimit, das die Anzahl gleichzeitiger TCP-Verbindungen von einer einzelnen IP-Adresse einschränkt, wurde überschritten.
Diese IP-Adresse gehört eventuell zu einem Angreifer oder einem Host, der mit einem Wurm infiziert ist und versucht, den Wurm zu verbreiten, indem im Netzwerk nach anderen ungeschützten Hosts gesucht wird.
Bereinigen Sie den Client-Computer mit dieser IP-Adresse gehört, falls er infiziert ist. Wenn eine extrem hohe Anzahl gleichzeitiger TCP-Verbindungen berechtigt ist, z. B. wenn es sich beim Client-Computer um einen Server oder einen Proxy handelt, der im Auftrag zahlreicher Client-Computer agiert, fügen Sie die IP-Adresse der Liste der Computer hinzu, für die die benutzerdefinierten Verbindungslimits gelten.
In der Produktdokumentation finden Sie weitere Informationen zur Abwehr von Flutangriffen in TMG Server.
Target | Microsoft.Forefront.TMG.Server |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
<Rule ID="Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured_limit.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(15120)$</EventsPattern>
<EventType>2</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured_limit.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>