Sobre el tema de bloquear las IP's, te puedo decir por experiencia, que te hacen el ataque desde diversas IP's a la vez ya que usan proxys.

He llevado un seguimiento de por donde han tratado de entrar en una de las webs que llevo y generan mas de 10 intentos en menos de 5 segundos al mismo, probé a bloquearlas desde SQL, .htacess, y tal pero es tontería por lo que te acabo de comentar.

La mejor opción es bloquear la cuenta directamente cuando superen dicho número de intentos, y después de un cierto tiempo desbloquearla, por si el usuario real quiere volver a entrar.

Otra opción es controlar la ubicación del que trata de acceder, tipo lo que hace google, si por ejemplo te conectas siempre desde la ubicación X, y un día de buenas a primeras tras diferentes intentos se conecta desde una ubicación Y, bloqueas la cuenta en el momento, cambias la contraseña automáticamente generando una aleatoria y le mandas un mail a la cuenta de correo con la que se registró dicho usuario con un aviso de que su cuenta a sido comprometida y los pasos para modificar la contraseña.