@Petrovich77
1) Банить нужно диапазон в виде CIDR группы (123.4.0.0/16) это вариант более точен. И банить в Яндексе а не на сайте.
2) 200 заказов в минуту явно не руками отправляются (возможно post запросом) поэтому никакие проверки не помогут...
3) 1000 капч = 1$ соответственно они легко обходятся, только будут отпугиваться реальные клиенты.
4) Ни в какой httcsess заносить не нужно, т.к. это стимулирует злоумышленника менять IP адреса. Лучше просто сделать проверку и не обрабатывать более 2-3 заявок с 1 IP/диапазона IP, а приниматься на стороне клиента все должно всегда.
5) Если IP не банить, то и злоумышленник не будет его менять, соотсветсвенно вычислять его не нужно
