Evitar posts duplicados

Bom dia,

estou tendo ataques e estão enviando via post várias requisições.

Eu não posso usar captcha, pq prejudica os clientes e posso perdê-los, já fiz o teste.

Eu pensei em criar um token que validava, porém eles conseguiram burlar. Devem ter criado uma extensão do navegador que abre a página, preenche os dados automaticamente e enviam o post.

Como posso bloquear isto de modo eficaz? Não posso mais criar etapas para o cliente, tudo precisa ser feito sem que ele sinta a mudança.