Voce disse que achou o IP desse servidor, ele é de alguma regiao que seu cliente nao espera acessos? Como Asia, sei la? Voce pode colocar um geo block mas isso é muito abrupto.
Esse é o ponto que eu fico curioso, pois se o atacante achou o IP do servidor, a request não vai passar pela Cloudflare. Como nesse caso você faria um geoblock ou qualquer outro controle do tráfego?
Não tinha me atentado a esse fato, de que estavam atacando diretamente o servidor. Bem, como eu disse no linkedin, se não existe uma razao muito plausivel pra origin ser aberta assim, o servidor deveria somente aceitar requests da CDN, fazendo validacao de algum header fake que a CDN passa pra origin por exemplo. E em origin uma regra no webserver que se nao existir esse token, 403.
Outra coisa, esses clouds tem um bloco de IP, ele pode criar uma regra liberando somente o CIDR da cloudflare.