Acho difícil a cloudflare não conseguir mitigar....
Quando colocar na cloudflare, libere somente a 443 para os IP's da cloudlfare e não deixe aberto para any, pois o ataque pode ir pelo IP direto também.
Outra coisa, já tentou usar o zero trust deles?
Qualquer coisa me chama aqui em privado que lhe ajudo sem compromisso.