Вот моя мысль,
Установите порог примерно 30 раз в минуту, затем заблокируйте этот IP на несколько минут.
Но если злоумышленник подделает исходный IP-адрес, это может немедленно заблокировать законного пользователя.
И я сейчас в замешательстве.
распространенный способ заблокировать брутфорс на всех типах служб, включая базовую аутентификацию http: fail2ban. Боты не могут подделать исходный IP-адрес для полного TCP-соединения (в вашем случае HTTP-запроса), вам не нужно об этом беспокоиться. (видеть "Легко ли подделать IP-адреса"? )