Нда, надёжных способов идентифицировать конкретного юзера с динамическим айпи и ставить на него ограничения по кол-ву/объёму закачек в сутки пожалуй что нет - жабаскриптовые методы определения "ИД компьютера" легко обходятся, а про кукисы уж вообще нечего и говорить...
Тут может спасти только система авторизаций. Либо с закрытой регистрацией (наихудший вариант), либо посредством клиентской проги-регистратора, при регистрации выдёргивающей какой-либо уникальный параметр компа (например, серийный номер какойнить железки) шифрующей его, и просящей юзера вставить шифр в броузере в ХТМЛ-форму отправки на сервер (шифр стессна должен содержать нечто вроде "чексума", дабы его не подделывали), где этот ИД пишется в базу данных и проверяется, нет ли там уже такого ИД. Тогда другой аккаунт юзер зарегить уже не сможет... Трудность в том, чтоб написать прогу так, чтоб её было предельно тяжело декомпилировать
ну и раз в год смывать базу, заставляя региться по новой, дабы там не накопились клоны сменивших железо...
Правда, такой вариант многих испугает - теоретически так можно отследить, кто сколько контрафакта накачал
)