[스크랩] RDP 프로토콜 구성 요소 X.224이(가) 프로토콜 스트림에 있는 오류를 삭제하고 클라이언트 연결을 끊었습니다.

 

http://www.daegul.com/category/?page=217

 

이벤트 형식: 오류
이벤트 원본: TermDD
이벤트 범주: 없음
이벤트 ID: 50
사용자: N/A
설명:
RDP 프로토콜 구성 요소 X.224이(가) 프로토콜 스트림에 있는 오류를 삭제하고 클라이언트 연결을 끊었습니다.
데이터:
0000: 00 00 0b 00 02 00 5a 00 ......Z.
0008: 00 00 00 00 32 00 0a c0 ....2..À
0010: 00 00 00 00 32 00 0a c0 ....2..À
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: 0b 00 00 00 0a 0a 64 07 ......d.
0030: 37 31 3f 71?

---

이 오류 역시 상당히 자주 볼 수 있다. 해당 오류는 터미널 서비스에 접속되어 있던 클라이언트가 네트워크 문제나 시스템의 문제로 강제로 끊어진 경우에 자주 볼 수 있다. 또는 관리도구-터미널 서비스 관리자에서 실제로 끊어지기는 했으나 연결된 상태로 나오는 경우, 이를 끊기위해 "연결 끊기"를 하는 경우에도 볼 수 있다.

그렇게 자주 발생하는 오류는 아니며, 네트워크 문제가 아님에도 불구하고 자주 발생한다면 해킹 시도로 인한 것으로 판단해야 한다. 터미널 서비스를 해킹할려는 몇 개의 툴이 있기에 이런 것을 통한 경우 오류가 뜬다.

 

 

---------------------------------------------------------------------------------------------------------------

 

http://social.technet.microsoft.com/Forums/ko-KR/75089af9-1cc2-4691-b712-cf965ffe149a/-?forum=windowsserverko

 

안녕하십니까? hazademan 님,
Microsoft TechNet의Forum 사이트를 방문해 주셔서 감사합니다.

 

고객님께서 문의하신 "윈도우 로그 분석 부탁 드려요"에 대해 답변을 드리겠습니다.

 

세가지 질문에 대해서 정확히 답변 드리지 못해서 죄송합니다.
해외포럼에 2가지 유사 이슈가 있어서 참고 자료을 통해서 확인 부탁드립니다.

 

[참고자료]
Event ID 56 TermDD
TermDD Event ID: 56

제시해 드린 답변이 도움이 되었기를 바랍니다.

답변이 문제 해결에 도움이 되었다면 답변으로 채택을 부탁드립니다.
하지만 문제 해결이 되지 않아서 정확한 답변을 원하는 경우에는 문제의 정보를 더 자세하게 답변으로 제공해주시기 바랍니다.

 

• 답변으로 표시됨 instantswamp 2012년 9월 3일 월요일 오전 1:43

2012년 8월 31일 금요일 오전 7:52

응답

|

인용

중재자

0

로그인하여 투표

뭐 앞선 답변과 같은 정상적인 접속 과정에서의 기술적인 문제와 관련하여 발생하기도 하지만,.

최근에는,. 터미널 서비스 포트가 방화벽에 의해서 차단되어 있지 않은 경우

외부의 스캔 공격에 의해서 발생하는 경우도 많습니다.

공격자가 스캔하는 경우 정상적인지 않은 패킷구조나, 정상적인 연결 방법이 아닌 연결을 시도하기 때문이며,

터미널 서비스나, TCP 관련 취약점을 이용한 스캔 공격도 많습니다.

 

자주 발생하는 경우라면,
방화벽에 의해서 제한된 IP 외에 차단을 한동안 해보시고 로그가 쌓이는지 확인해 보시기 바랍니다.

2012년 9월 5일 수요일 오전 7:34