Число разрешенных TCP-соединений от конкретного исходного IP-адреса превысило настроенный предел - Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured

Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured_limit.Rule (Rule)

Это правило создает оповещения, если число разрешенных TCP-соединений от конкретного исходного IP-адреса превысило настроенный предел

Knowledge Base article:

Сводка

Сервером TMG Server не будет разрешено создание новых TCP-соединений от указанного исходного IP-адреса до закрытия некоторых существующих подключений, так как превышено ограничение числа параллельных TCP-соединений от одного IP-адреса.

Причины

Этот IP-адрес может принадлежать злоумышленнику или узлу, зараженному вирусом-червем и пытающемуся распространить вирус-червь путем проверки сети в поиске других уязвимых узлов.

Решение

Проверьте на вирусы клиентский компьютер с данным IP-адресом. Если чрезмерное количество параллельных TCP-соединений является законным, например, когда клиентский компьютер является сервером или прокси-сервером, действующим от имени многих клиентских компьютеров, включите данный IP-адрес в список компьютеров, к которым применяются настраиваемые ограничения числа подключений.

Внешний

Дополнительные сведения о предотвращении Flood-атак сервером TMG Server см. в документации по продукту.

Element properties:

Target	Microsoft.Forefront.TMG.Server
Category	EventCollection
Enabled	True
Alert Generate	False
Remotable	True

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Forefront.TMG.Rule.AlertGenerate.DS	Default
WA	WriteAction	Microsoft.Forefront.TMG.Rule.AlertGenerate.WA	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Forefront.TMG.Rule.AlertGenerate.DS

Default

WriteAction

Microsoft.Forefront.TMG.Rule.AlertGenerate.WA

Default

Source Code:

<Rule ID="Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured_limit.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>EventCollection</Category> <DataSources> <DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Application</LogName> <EventsPattern>^(15120)$</EventsPattern> <EventType>2</EventType> <SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern> </DataSource> </DataSources> <WriteActions> <WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA"> <AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_TCP_connections_allowed_from_a_specific_source_IP_address_exceeded_the_configured_limit.AlertMessage"]$</AlertMessageId> <DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName> <Priority>1</Priority> <Severity>2</Severity> </WriteAction> </WriteActions> </Rule>