Pergunta honesta: um Cloudflare da vida segura um ataque desses (+1M requests)? Estou implementando Cloudflare para um site da minha empresa, onde o domínio é .store.
Na primeira madrugada com o site no ar, recebi um ataque parecido com esse (1.5K de requests), o Cloudflare segurou e apontou no painel o ataque. Porém acredito que a intenção não era apenas negar o serviço, porque o bot utilizado estava procurando por arquivos específicos (/wpadmin.php, /index.php, etc).
Apesar de estar a um bom tempo codando e fazendo deploys mais simples, essa parte de infra com Cloudflare na frente é novidade pra mim. Abraços a todos!