aabbとccccのどちらで検出してブロックするのが有効か考えたけど
ccccの端末+UAの方が偽装しやすい気がするんだよね
ブラウザによっては標準でUA変更機能も持っているし

となるとIP+プロバイダのaabbの方でブロックするべきだけど
ここがおそらくプロクシで偽装されている
であればプロクシまで逆引きして本来の接続元IPを取得する必要があって
そこまですれば本来の接続元IPとプロバイダ情報が取れるけど
運営側じゃないとそういった処理ができないんだよな

その荒らしが何か事件性のありそうなレスでもすれば
通報という形で運営と警察が動して上記の逆引きが可能になるんだけどさ