Is it safe to say this is a bot, beyond a shadow of a doubt?
Não. Pode-se ter várias abas de seu site abertas, travar o navegador, reabrir a janela do navegador com todas as abas e causar essa impressão digital semelhante a um ataque DOS.
If so, is there any possible way to find out the specific script, or is that a long shot?
Não vejo dados que permitam precisamente a impressão digital de um script desse tipo.
At the very least, are there symptoms of a certain type of bot, web scraper, or script?
Os pedidos de imagem quebrados fazem com que pareça suspeito. Então sim, sintomas de atividade automatizada, sim.
Em vez de tentar descobrir exatamente o que é isso, considere uma ferramenta de monitoramento comportamental / de reputação, como Repsheet . Isso permite primeiro registrar a atividade e determinar os padrões que você pode querer marcar como suspeitos. Em seguida, você pode decidir o que fazer com essa atividade suspeita.
Se você não pode ter certeza de que é um bot e não quer irritar o que poderia ser um usuário real, você pode simplesmente exibir um desafio, como um reCaptcha, ou fazer login novamente. Ou você pode redirecionar esse usuário para um servidor secundário para que o desempenho não seja prejudicado por pessoas confiáveis no servidor principal. Ou você pode até enviá-los para um honeypot e fazer o que quiser, mostrar dados falsos, mostrar dados em cache, etc.