Сеансы хранятся только в браузере?

Мой сайт подвергается грубой силовой атаке, когда злоумышленники пытаются получить доступ к учетным записям пользователей. У ботов нет пользовательского агента. У меня есть система, которая блокирует вход человека, если он превысит 3 попытки для каждой учетной записи менее чем за 10 минут.

Я также сделал проверку на наличие пользовательского агента и, если нет, выход.

Мой вопрос: :Сеансы хранятся только в браузерах? Я думаю, что они используют скрипт, выполняемый через командную строку.

Я тоже это реализовал:

if(!isset($_COOKIE[ini_get('session.name')])) {
header("HTTP/1.0 404 Not Found");
exit;
}

Что еще я могу сделать, чтобы предотвратить эти атаки?