Abgewiesene Logins sind nicht das Thema, sondern Session-Klau mittels erratener Session-Tokens. Also in PHP gesprochen, einfach nur PHPSESSID senden, was das Teug hält, bis eine passt. Derartige Requestbursts sind bisher nicht abgefangen.
Ich habe vor nicht sehr langer Zeit ein Video gesehen, wie man PHP Sessions angreift. Der Autor war ehemals bekannt als Verbreiter des SAMY Wurms auf MySpace. Er zeigte im Video wie die beeindruckende Bit-Zahl des Tokens wirklich zusammenschrumpft auf wenige Bits.