Как работать с ботнетами и автоматической подачей заявок

Краткая история: у меня есть веб-приложение, которое имеет огромный стимул для участия. Таким образом, мы становимся мишенями для скриптеров и ботов. Основываясь на IP-адресах, с которых поступают заявки (более 1000 и больше, никаких закономерностей), я склонен полагать, что заявки создаются сетью ботов. Хуже того, люди, контролирующие автоматические представления, активно убеждают вещи до такой степени, что каждый раз, когда мы вносим изменения, они догоняют их в течение нескольких часов.

Некоторые из мер, которые мы уже пробовали:

• Captcha, как сторонняя, так и самодельная, с разной степенью читаемости
• Маркер защиты от подделки запроса, отправляемый через файл cookie и скрытое поле формы, которое сравнивается при отправке
• Скрытое пустое поле приманки, которое вызывает отправку в завершается неудачно, если поле содержит данные
• Скрытое поле приманки, которое содержит данные по умолчанию и приводит к тихому сбою, если часть javascript не запускается для очистки значения поля
• Ограничение отправки по IP-адресу в течение определенного времени период
• Блокировка доменов электронной почты, которые, как известно, используются автоматическими сценариями
• Блокировка хостов на основе одновременных подключений или подключений в минуту на брандмауэре
• Блокирование наиболее вопиющих IP-адресов на брандмауэре
• Использование внешнего адреса служба проверки ce для проверки входящих адресов

Даже с учетом всех этих мер, отправка не только продолжается, но и, кажется, увеличивается с частотой, порядка 100 000+ в день.

В настоящее время используются фиктивные записи. полностью действительные имя и фамилия и, по-видимому, прибегли к использованию какого-то списка каталогов, чтобы гарантировать, что адреса, которые они используют (которые кажутся совершенно случайными и совсем не согласованными, кстати), действительно являются действительными почтовыми адресами США. Кроме того, я зарегистрировал входящие значения формы в журнале отладки и подтвердил, что они действительно отправляют действительные коды captcha, указывая на то, что у них есть OCR, достаточно хорошее для расшифровки изображений (сам код никогда не отправляется клиенту, только GUID, представляющий код, который хранится где-то в другом месте на сервере)

Фактически, единственный способ определить, являются ли записи поддельными, - это по шаблону адресов электронной почты и доменов, которые они отправляют. Мы пытались заблокировать вход в самые активные домены, но спамеры просто создают или находят новые домены, из которых они могут сгенерировать одноразовые адреса электронной почты, и продолжают работать.

На данный момент я довольно устал, но я Конечно, должно быть что-то, чего я не пробовал. У кого-нибудь есть какие-нибудь блестящие идеи?