先了解黑客的攻击方法：

　　1、DDoS 它应用UDP报文、TCP报文攻击游戏服务器的带宽，这一类攻击十分暴力，现象就是服务器带宽异常升高，攻击流量远远大于服务器能遭遇的最大带宽，导致服务器造成拥塞，正常玩家的恳求达到不了服务器。

　　2、BotAttack(TCP协议类CC攻击) 这种攻击比DDoS更难防御，黑客通过TCP协议的漏洞，利用海量真实肉鸡向服务器发起TCP恳求，正常服务器能吸收的恳求数在3000个/秒左右，黑客通过每秒十几万的速度向服务器发起TCP恳求，导致服务器TCP队列满，CPU升高、内存过载，造成服务器宕机，会严重影响客户的业务，这种攻击的流量很小，在真实的业务流量中暗藏，难以创造又很难防御。

　　3、业务的模仿(深度业务模仿类CC攻击) 棋牌类的游戏通信协议比较简略，黑客进行协议破解几乎没什么难度，目前我们已经创造有黑客会针对棋牌客户的登陆、注册、房间创立、充值等多种业务接口进行协议模仿型的攻击，这种流量相当于正常业务流量，比BotAttck模仿程度更高，防御难度更高!

　　4、其他针对性手段 除了传统的网络攻击，很多棋牌客户还被有针对性的攻击，例如：数据库数据泄漏、微信恶意举报封域名等非常有针对性的攻击，涌现问题会直接影响业务的发展。

　　游戏公司如何断定自己被攻击呢? 假设可以确实不是线路和硬件故障，连接服务器突然变得艰苦，在游戏中的用户掉线等现象，则很有可能是遭遇了DDoS攻击。

　　目前，游戏行业的IT基础设施有两种安排模式：一是采用云盘算或托管IDC模式，二是自拉网络专线。由于费用的考虑，绝大多数采用前者。 不管是前者还是后者接入，正常游戏用户可以自由的进入服务器娱乐。如果突然涌现这几种现象，就可以断定是“被攻击”状态。

　　(1)主机的IN/OUT流量较平时有明显的增长。

　　(2)主机的CPU或者内存利用率涌现无预期的暴涨。

　　(3)通过查看当前主机的连接状态，创造有很多半开连接，或者是很多外部IP地址，都与本机的服务端口建立几十个以上ESTABLISHED状态的连接，就是遭到了TCP多连接攻击。

　　(4)游戏客户端连接游戏服务器失败或登录过程非常缓慢。

　　(5)正在游戏的用户突然无法操作或者总是断线。