GBase 8t 安全特性之客户机-服务器通讯（十）限制拒绝服务攻击

（一）概述
（二）身份验证机制概述
（三）网络安全性文件
（四）可插拔身份验证模块（PAM）
（五）分布式查询环境中的身份验证机制
（六）网络加密机制
（七）配置 GBase 8t 服务器来使用加密
（八）配置 GBase 8t 客户端来使用加密
（九）保护到主机的本地连接

（十）限制拒绝服务攻击

GBase 8t 有两类处理客户机-服务器请求的线程：侦听线程侦听客户机请求；身份验证线程对请求进行身份验证，并允许或拒绝对数据库的访问。

为了提升连接性能，应有适量的身份验证线程，以确保同时处理尽可能多的请求，并确保服务器不超负荷。此外，应清除未完成的连接请求。

如果使用像 Telnet 这样的外部连接工具或实用程序来连接到为 GBase 8t 保留的端口，且未发送数据，而第二个会话正在通过应用程序来试图连接到服务器，则阻塞侦听线程，等待来自 Telnet 会话的数据，并阻止来自应用程序的请求。在等待期间，如果循环地发起了多个 Telnet 请求，则可能是遭到对连接的攻击，导致连接性能低下。

GBase 8t 提供两个配置参数，来处理这种情况：

• MAX_INCOMPLETE_CONNECTIONS 配置参数限制未完成的连接数和同时运行的身份验证线程数。如果请求超出此数值，则拒绝服务，而不是暂停服务。缺省值为 1024。
• LISTEN_TIMEOUT 配置参数清除那些等待期间超过此参数设置值的未完成的请求。缺省值为 10 秒。
  （详请参阅《GBase 8t 管理员参考》）