Gracias kaninox.
Para no dejar tan abierta la pregunta, voy a dejar lo que se me ocurrió hasta ahora, además por si le es útil a alguien en el futuro.
- Bloquear la IP (por más que la cambie)
- Crear una o varias cookies (si es posible por varios servidores)
- Tratar de identificarlo por el 'Agent' (el explorador y sus plugins)
Se deberían de verificar todas juntas.
Alguna idea?
Además tengo validaciones por JavaScript al estilo Analytics, otras ideas del lado del servidor?