Essa regra gera alertas quando o número de solicitações de resolução de nome DNS pendentes está acima do máximo definido pelo sistema
O TMG Server rejeitou uma nova conexão que exige que ele envie uma solicitação de resolução de nome de DNS, porque o número de solicitações de resolução de nome DNS pendentes relativas ao número total de segmentos disponíveis excede o máximo definido pelo sistema.
Pode haver um ataque de inundação ou propagação de worm em endereços IP aleatórios. Se houver uma regra de diretiva que restrinja o acesso a um ou mais destinos especificados pelos nomes de domínio, as pesquisas DNS reversas serão exigidas para cada solicitação de conexão. Como alternativa, pode haver uma explosão legítima de solicitações de conexão que exigem que o TMG Server envie as solicitações de resolução de nome DNS ou a capacidade do computador do TMG Server pode não ser apropriada para a configuração de rede.
Execute as seguintes etapas:
Examine os logs do TMG Server para encontrar clientes que geram um número excessivo de solicitações de conexão. Esses clientes devem ser suspeitos de gerar ataques de inundação ou de tentar propagar worms. Especificamente, procure entradas no log que correspondem a regras que exigem resolução de nome (conexões que correspondem a regras que não exigem resolução de nome são irrelevantes para o limite de solicitações de resolução de nome DNS pendentes.)
Limpe todos os computadores cliente infectados.
Revise as regras da diretiva para reduzir o requisito da resolução de nome DNS para imposição de diretivas.
Consulte a documentação do produto para obter mais informações sobre a resiliência a inundações do TMG Server
| Target | Microsoft.Forefront.TMG.Server |
| Category | EventCollection |
| Enabled | True |
| Alert Generate | False |
| Remotable | True |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
| WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
Home
PTB <Rule ID="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(21279)$</EventsPattern>
<EventType>1</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>