Podrias guardar el lapso de tiempo desde que hicieron la primera llamada, a la actual, y si fuen en un lapso de determinado tiempo(10 en 10 segundos), bloquear la ip. Osea seria poner un limite de llamadas por segundo.

De hecho por mas que le pongas un identeficador unico, lo que hacen lo hackers de juegos, es pedirle al servidor que te mande un identificador de acceso como dice el de arriba, osea que le hacen ingenieria inversa a las funciones que generan ese codigo, y lo usan con su beneficio, ahi ya no se puede hacer nada, es imposible que el servidor se de cuenta que es un paquete fue hecho fuera del cliente original.