Home
  •  

Attaque SYN

Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack (UnitMonitor)

Cette analyse recherche les événements qui indiqueront une possible attaque par déni de service.

Knowledge Base article:

Résumé

Cette alerte peut indiquer un possible refus d'attaque de service.

Causes

Cela peut être causé par une attaque par déni de service ou un cluster de NLB nettement surchargé.

Résolutions

Analysez les menaces à l'encontre du cluster d'équilibrage de la charge réseau (NLB), notamment une attaque par déni de service potentielle, puis prenez les mesures qui conviennent. Pour plus d'informations concernant la sécurité, consultez Security and Protection.

S'il ne s'agit pas d'une attaque, il se peut que le cluster de NLB soit surchargé. Pour distribuer la charge de trafic du cluster sur davantage d'hôtes, vous pouvez ajouter davantage d'hôtes au cluster de NLB.

Pour utiliser le Gestionnaire NLB, vous devez être membre du groupe Administrateurs sur l’hôte que vous configurez, ou l’autorisation appropriée doit vous avoir été déléguée. Si vous configurez un cluster ou un hôte en exécutant le Gestionnaire NLB à partir d'un ordinateur qui ne fait pas partie du cluster, vous n'avez pas à être membre du groupe Administrateurs sur cet ordinateur.

Pour ajouter un hôte au cluster NLB :

Element properties:

TargetMicrosoft.Windows.NetworkLoadBalancing.6.2.ServerRole
Parent MonitorSystem.Health.SecurityState
CategorySecurityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.2SingleEventLog2StateMonitorType
RemotableTrue
AccessibilityPublic
Alert Message
Une attaque SYN a été détectée
{0}
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack" Accessibility="Public" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.NetworkLoadBalancing.6.2.ServerRole" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>SecurityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack_AlertMessageResourceID">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>

    <OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <FirstComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>

    <FirstLogName>System</FirstLogName>

    <FirstExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">92</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-NLB</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">Params/Param[1]</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">$Target/Property[Type="NLBLibrary!Microsoft.Windows.NetworkLoadBalancing.ServerRole"]/ClusterIP$</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </FirstExpression>

    <SecondComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>

    <SecondLogName>System</SecondLogName>

    <SecondExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">93</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-NLB</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">Params/Param[1]</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">$Target/Property[Type="NLBLibrary!Microsoft.Windows.NetworkLoadBalancing.ServerRole"]/ClusterIP$</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </SecondExpression>

  </Configuration>

</UnitMonitor>