如何防止别人用测试机攻击网站[jsp做的网站]？

最近发现别人用测试机模拟很多客户端同时访问我们网站。
因为差不多每秒产生一个新Session,所以对性能影响不大，但是我起码得知道这个测试机的IP，以后即使出现问题，我也好有证据。
但是使用HttpSessionListener监听器只能获取Session,不能获取IP

所以考虑用过滤器模式，访问所有网站内容时都先经过这个过滤器，这样就能得到访问者的IP了，但是这样的操作会不会影响速度呢。
我也考虑过把这些IP信息和访问的地址先放到缓存中，定时再存到数据库，或者log文件中，但是数据量好像很大啊

哪位兄弟有这方面的经验麻烦指点一下，谢谢了！