Não tinha me atentado a esse fato, de que estavam atacando diretamente o servidor. Bem, como eu disse no linkedin, se não existe uma razao muito plausivel pra origin ser aberta assim, o servidor deveria somente aceitar requests da CDN, fazendo validacao de algum header fake que a CDN passa pra origin por exemplo. E em origin uma regra no webserver que se nao existir esse token, 403.

Outra coisa, esses clouds tem um bloco de IP, ele pode criar uma regra liberando somente o CIDR da cloudflare.