Cette règle génère des alertes lorsque le nombre de paquets TCP et non-TCP refusés par seconde a dépassé la limite autorisée.
Le nombre de paquets TCP et de paquets non-TCP refusés par seconde a dépassé la limite du système. C'est pourquoi TMG Server a réduit le nombre d'enregistrements refusés qui sont écrits dans le journal.
Un ou plusieurs hôtes « zombies » participent peut-être à une attaque contre un serveur victime, mais TMG Server parvient à bloquer le trafic d'attaque.
Consultez les journaux du serveur TMG pour identifier les hôtes « zombies » et supprimez le code malveillant de ceux-ci.
Consultez la documentation du produit pour plus d'informations sur la résistance de TMG Server face aux attaques par saturation.
Target | Microsoft.Forefront.TMG.Server |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
<Rule ID="Microsoft.Forefront.TMG.The_number_of_denied_TCP_and_non_TCP_packets_per_second_exceeded_the_system_limit.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(21282)$</EventsPattern>
<EventType>1</EventType>
<SourcePattern>[Microsoft Forefront TMG Firewall]|[Microsoft Forefront TMG Control]</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_denied_TCP_and_non_TCP_packets_per_second_exceeded_the_system_limit.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>