neulich hat bei mir jemand mit einer unkontrollierten Spider (o.ä.) 2 Stunden mehr Traffic verursacht als ich sonst in einer Woche habe. Jetzt suche ich einen Weg solche Leute auszuschließen, z.B. nach 100 Pageviews in 100 Sekunden. Eine fertige Lösung (PHP-Modul o.ä.) habe ich bisher nicht gefunden.

Ich sehe nur eine Methode:
Einem Script eine log routine mitzugeben, welche im Zweifelsfall eine betroffene .htaccess Datei umschreibt und die IP sperrt.

Damit das kein genereller Performanceeinbruch bringt, kannst du die Ausführung der Routine durch Kriterien beschränken.
Entscheidend ist, ob das ein Einzelfall ist, oder ob dies periodisch unter einem bestimmten gemeinsamen Merkmal, oder dem Fehlen desselben, auftritt.

Fehlfunktionierende Software ist manchmal nicht in der Lage, gültige HTTP Requests abzusetzen. Dies lässt sich ausnutzen. So ist ein Accept Header zum Beispiel Pflicht.

Ziel ist nicht, die Requests zu stoppen (wirkunslos ausser bei massiven Massnahmen), sondern unnötige CPU Leistung durch billige 403er zu beantworten.
PS: Wenn Bots über reguläre Proxies agieren, wirkt ein 410er Wunder.

mfg Beat