Potrebbe verificare se è attivo javascript.
Se il client scarica solamente le pagine invece di scaricare anche le altre risorse collegate (es. CSS, immagini, script etc.).
a queste due ci avevo pensato ma essendoci modalità del browser che prevedono tale comportamento non credo siano usate per fortuna
Se l'IP di provenienza e' di una sotto-rete di un fornitore di hosting invece che di un provider di accesso.
Potrebbe provare a fare un lookup DNS per verificare ventuali host registrati, server smtp etc.
Potrebbe tentare una connessione HTTP verso l'IP chiamante per verificare che non sia un web server.
a questa ci avevo pensato ma poi mi sono detto che se uno dei tizi dell'hosting accede da remoto con un browser sull'host? Anche questa è riduttiva ma sicuramente quella più adottata in pratica, mi sa..

Potrebbe analizzare la richiesta e compararla in modo statistico con quelle che riceve normalmente per identificare eventuali differenze.
per questa cosa qua avevo pensato comunque di "randomizzare" gli accessi in modo da gettare fumo negli occhi al server

vabbè insomma di metodi ce ne sono.. mi sa che devo andare a tentativi e vedere quale tecnica meglio si adatti

Grazie Filippo per la risposta esaustiva, se passi da Napoli tieni presente che oltre alla "monnezza" facciamo anche dell'ottimo caffè, ne tieni uno segnato sul mio conto