Gracias kaninox.
Para no dejar tan abierta la pregunta, voy a dejar lo que se me ocurrió hasta ahora, además por si le es útil a alguien en el futuro.

• Bloquear la IP (por más que la cambie)
• Crear una o varias cookies (si es posible por varios servidores)
• Tratar de identificarlo por el 'Agent' (el explorador y sus plugins)

Se deberían de verificar todas juntas.

Alguna idea?

Además tengo validaciones por JavaScript al estilo Analytics, otras ideas del lado del servidor?