做好攻击防护主要有3个方向：

1、架构优化-好的架构能解决很多问题

2、服务器加固-先做好自己能做的防御

3、商用的DDoS防护服务-选择靠谱的服务提供商最重要游戏公司需要根据自己的预算、攻击严重程度，来决定使用哪一种。

在预算有限的情况下，可以从免费的DDoS缓解方案和自身架构的优化上下功夫，减缓DDoS攻击的影响。

a.如果系统部署在云上，可以使用云解析，优化DNS的智能解析，同时建议托管多家DNS服务商，这样可以避免DNS攻击的风险。

b.使用SLB，通过负载均衡减缓CC攻击的影响，后端负载多台ECS服务器，这样可以对DDoS攻击中的CC攻击进行防护。在企业网站加了负载均衡方案后，不仅有对网站起到CC攻击防护作用，也能将访问用户进行均衡分配到各个web服务器上，减少单个web服务器负担，加快网站访问速度。

c.使用专有网络VPC，防止内网攻击。

d.做好服务器的性能测试，评估正常业务环境下能承受的带宽和请求数，确保可以随时的弹性扩容。

e.服务器防御DDoS攻击最根本的措施就是隐藏服务器真实IP地址。当服务器对外传送信息时，就可能会泄露IP，例如，我们常见的使用服务器发送邮件功能就会泄露服务器的IP。

因而，我们在发送邮件时，需要通过第三方代理发送，这样子显示出来的IP是代理IP，因而不会泄露真实IP地址。在资金充足的情况下，可以选择DDoS高防服务器，且在服务器前端加CDN中转，所有的域名和子域都使用CDN来解析。

对自身服务器做安全加固：

a.控制TCP连接，通过iptable之类的软件防火墙可以限制某些IP的新建连接；

b.控制某些IP的速率；

c.识别游戏特征，针对不符合游戏特征的连接可以断开；

d.控制空连接和假人，针对空连接的IP可以加黑；

e.学习机制，保护游戏在线玩家不掉线，通过服务器可以搜集正常玩家的信息，当面对攻击的时候可以将正常玩家导入预先准备的服务器，新进玩家可以暂时放弃；

f.确保服务器系统安全；

g.确保服务器的系统文件是最新的版本,并及时更新系统补丁；

h.管理员需对所有主机进行检查，知道访问者的来源；

i.过滤不必要的服务和端口：可以使用工具来过滤不必要的服务和端口（即在路由器上过滤假IP，只开放服务端口）。这也成为目前很多服务器的流行做法。例如，“WWW”服务器，只开放80端口，将其他所有端口关闭，或在防火墙上做阻止策略；

j.限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量；

k.认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击；

l.限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪；

m.充分利用网络设备保护网络资源；

n.禁用ICMP。仅在需要测试时开放ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN阀值，禁用ICMP和UDP广播；

o.使用高可扩展性的DNS设备来保护针对DNS的DDoS攻击。可以考虑购买DNS商业解决方案，它可以提供针对DNS或TCP/IP3到7层的DDoS攻击保护。