Home
  •  

Atak SYN

Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack (UnitMonitor)

Ten monitor sprawdza, czy wystąpiły zdarzenia, które wskazują na możliwość ataku typu „odmowa usługi”.

Knowledge Base article:

Podsumowanie

Ten alert może wskazywać na możliwość ataku typu „odmowa usługi”.

Przyczyny

Przyczyną może być atak typu „odmowa usługi” lub znaczne przeciążenie klastra równoważenia obciążenia sieciowego.

Rozwiązania

Należy przeanalizować zagrożenia dotyczące klastra równoważenia obciążenia sieciowego, w tym możliwość ataków typu „odmowa usługi”, a następnie podjąć odpowiednie działania. Aby uzyskać więcej informacji o zabezpieczeniach, zobacz temat Zabezpieczenia i ochrona.

Jeśli przyczyną nie jest atak, klaster równoważenia obciążenia sieciowego może być przeciążony. Aby rozłożyć obciążenie wynikające z ruchu w klastrze na większą liczbę hostów, można dodać więcej hostów do klastra równoważenia obciążenia sieciowego.

W przypadku korzystania z Menedżera równoważenia obciążenia sieciowego trzeba należeć do grupy Administratorzy na konfigurowanym hoście lub mieć odpowiednie uprawnienia oddelegowane. Jeśli konfigurowanie klastra lub hosta wykonuje się przez uruchomienie Menedżera równoważenia obciążenia sieciowego z komputera, który nie wchodzi w skład klastra, nie trzeba należeć do grupy Administratorzy na tym komputerze.

Aby dodać hosta do klastra równoważenia obciążenia sieciowego:

Element properties:

TargetMicrosoft.Windows.NetworkLoadBalancing.6.2.ServerRole
Parent MonitorSystem.Health.SecurityState
CategorySecurityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.2SingleEventLog2StateMonitorType
RemotableTrue
AccessibilityPublic
Alert Message
Wykryto atak SYN
{0}
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack" Accessibility="Public" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.NetworkLoadBalancing.6.2.ServerRole" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>SecurityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack_AlertMessageResourceID">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>

    <OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <FirstComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>

    <FirstLogName>System</FirstLogName>

    <FirstExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">92</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-NLB</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">Params/Param[1]</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">$Target/Property[Type="NLBLibrary!Microsoft.Windows.NetworkLoadBalancing.ServerRole"]/ClusterIP$</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </FirstExpression>

    <SecondComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>

    <SecondLogName>System</SecondLogName>

    <SecondExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">93</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-NLB</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">Params/Param[1]</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">$Target/Property[Type="NLBLibrary!Microsoft.Windows.NetworkLoadBalancing.ServerRole"]/ClusterIP$</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </SecondExpression>

  </Configuration>

</UnitMonitor>