Je vois de plus en plus de sites dans la galaxie opensource (instances GitLab, ...) qui déploient Anubis : https://anubis.techaro.lol/.
C'est censé catégoriser les requêtes :
 - bots autorisés (user-agent, et IP dans des plages définies) : typiquement indexation des moteurs de recherche
 - bots bloqués : typiquement IA
 - browsers : un "challenge" est présenté (une page avec un calcul javascript), le résultat est ensuite stocké dans un cookie

L'idée est de bloquer les bots qui se font passer pour un navigateur, mais ne sont en fait pas très intelligents (pas de JavaScript, ou très limité), ou de leur faire consommer des ressources (le calcul), en amont de tout contenu dynamique ou volumineux.

En fonction de la nature des attaques, ça pourrait peut-être aider, en limitant l'attaquant à la page "challenge", sans appel au code php du forum.
En revanche, ça reste au niveau Apache (cf https://anubis.techaro.lol/docs/admin/environments/apache), donc ça n'aide pas quand le problème est le nombre de connexions ouvertes, ou un très grand nombre de connexions par seconde.

Normalement le challenge n'est présenté qu'une fois à l'utilisateur, sauf les cookies ont été effacés (ou si le site est chargé en navigation privée, donc initialement sans cookies).

Pour sécuriser un accès à un site internet, il y a aussi le captcha one-clic anti bot de Cloudfare, utilisé par de nombreux sites (la plupart du temps c'est transparent à l'usage, même pas un clic).
Mais je ne sais pas s'il y a des contraintes à sa mise en place.
Et depuis la 1ère moitié de 2024, avec Firefox, le captcha one-clic anti bot de Cloudfare bloque systématiquement en faux-positifs avec un certain nombre d'extensions pour navigateurs. Voici quelques exemples confirmés:
- Disable HTML5 Autoplay (dans mon cas)
- JavaScript Error Notifier (vu sur un retour sur internet)
- un "useragent switcher" (il en existe plusieurs, je ne sais pas lequel, vu sur un retour sur internet)

On ne peut pas désactiver temporairement les accès via Ipv4 ?

Ça ne changera rien dans ce cas en terme de sécurité.
L'attaque se fait aussi en IPv6, et suffisamment pour que ce soit bloquant si on n'avait aucune mesure de sécurité en amont du forum.

Sans parler que dans le détail, on coupe le forum de quasi tout le monde des entreprises, y compris en France, et de pas mal de monde, même si c'est minoritaire, à partir d'autres endroits (en France).
Il y a des personnes qui nous consultent vraiment de pays avec peu d'IPv6 aussi...
Bref, on est encore loin d’avoir une telle solution viable (et quand ce sera le cas, je prends le pari que les attaques auront inversés leurs ampleurs entre IPv4 et IPv6).