а зачем тут мозги? обнаружили факт наличия атаки, пусть даже будет 99% ложных срабатываний, переключили на сервисную сессию, отправили письмо/написали в логи.
на следующий день - пришли посмотрели, увидели что это не ддос -  выключили. 

Ну если само по себе это не проблема, если критичней доступность сервиса важнее, чем попадание на бабло, то да.
 

походу второй вопрос - чем клоудфлейр не устраивает?

не устраивает, тем, что, как я понимаю, он заточен на веб, а клиент - предоставляет услуги впн и телефонии. 

ааааааааа, я просто на свои задачи примерил и думаю - зачем