При злом флуде на один мой ресурс, CF просто поставил rate-limit на входящие syn-пакеты. Проверял с удаленного unix бокса, при этом в интерфейсе CF IP бокса прописал специально в white list. CF акаунт был бизнес, за 200$/month. Делал telnet 80 с tcpdump, syn уходит, а в ответ тишина, попытки с 10-й могла tcp сессия и установиться. После предоставления супорту CF'а tcpdump'а, они признали, что у них rate-limit. Причем атака шла порядка 75K пакетов в секунду. Что совсем не космическая цифра.
По моим наблюдениям, CloudFlare под относительно небольшой нагрузкой прекращает отдавать защищаемые страницы. Впрочем все эти сервисы не так просты; Ну если на один и тот же адрес, пославший кучу запросов - то это тебя просто могли занести в Blacklist, ненадолго. в том-то и дело что нет
например censor.net.ua знаю стоит под DDoS иду туда по ссылке с домашнего IP где кроме меня нет вообще никого совсем - а cloudflare показывает страницу "мы тут защищаем..." и крутит колесико "защищаем... защищааааааеееееммм... зааааааааащииииищааааааааееееееееммм...."
иногда секунд 3-5 и Ок а иногда просто плюнешь дожидаться