Популярным ходом является хранение сессий PHP в memcached. Но похоже, что это широко открыто для атаки - кто-то может затопить сервер для новых запросов сеанса и занять всю вашу память. Какие меры можно предпринять против этого?
Ограничение скорости?
борьба с наводнениями?
Период охлаждения?
Не знаю, есть ли в stackoverflow информация, которая может помочь.