这个功能现在一般网站上都有了。但是现在出现了一个情况，网上暴露的邮箱账号密码太多，有人会拿这些账号来通过这一接口进行试探用户是否存在，然后再爆破密码。
我通过限制ip对这个借口的访问来限制，但是网站部分流量是通过CDN，部分没有经过，没有经过cdn的，我可以把它的remote_addr认为是他的ip，但是进过cdn的流量就不那么好处理了，remote_addr将是cdn节点ip,通过他们设置的转发头来获取用户ip.但是这些试探邮箱的人却也伪造转发表头来欺骗服务器，最后限制只能通过remote_addr来阻挡，这样就可能会影响一个节点后面的所有用户。
ip限制是在memcache中记录一个ip一段时间之类访问的次数，访问过多就阻挡，但现在这种试探都采用分布式的了。多个ip来模拟请求出发这样的验证操作。这部分的流量就没办法阻挡
所以我想问下，如果有这样功能的童鞋是如何解决这个问题的