Cara eu to montando uma solução PPPoE aqui no nosso ISP que além da autenticação convencional de usuário e senha, usa o MAC Address do usuário para permitir a conexão.
Basta setar o parametro Calling-Station-ID (acredito que seja o mesmo para todos os NAS) para cada usuário com o MAC Address do dispositivo que o mesmo usa para efetuar a conexão e pronto. Qualquer tentativa, por mais que tenha o usuário e senha correta não será bem sucedida caso o MAC Address não seja o configurado.
Usando UnLang no FreeRADIUS eu criei uma programação (pseudo-programação) que caso o parametro Calling-Station-ID não esteja informado no banco de dados para o usuário no momento da autenticação, o próprio FreeRADIUS se encarrega de gravá-lo. No nosso sistema de gerenciamento criei uma ação para limpar o endereço MAC caso o cliente troque o equipamento por exemplo.
Importante lembrar que se esta opção não estiver presente nos parametros do usuário ele pode conectar normalmente usando qualquer dispositivo, desta forma a primeira conexão ocorre normalmente, mais uma vez setado o acesso é limitado somente ao dispositivo que tem o MAC Address gravado no banco.
Agora tentativa de conexão é complicado, vc até pode barrar todo o tráfego com um firewall antes do seu NAS vindo deste MAC (layer 2 neste caso), mais se o atacante trocar o MAC do dispositivo usado para tentar efetuar a conexão sua regra de firewall fica obsoleta.
Acho difícil uma regra que distingua tentativas de conexões bem ou mau intencionadas, uma vez que do ponto de vista do protocolo é uma tentativa válida, que pode ou não ser bem sucedida.
O que pode ser feito ainda é tentar criar uma regra de firewall para limitar o número de requisições PPPoE por MAC por minuto, sei lá é uma maneira paliativa.