Mam wrażenie, że niektórzy trochę nie potrafią zrozumieć pewnych rzeczy i myślą, że halo przecież ja mam x i to wiadomo, że już robi za mnie y. Tak samo, jak sam fakt użycia CloudFlare nie powoduje, że nasza strona magicznie odpiera każdy atak. CloudFlare daje narzędzia, które pozwalają wyciąć atak przed naszym serwerem i zrobić inne magie. Coś, na co nasz mały serwerek nie ma mocy.
Tak samo, zazwyczaj głównym zadaniem ochrony antyddos na poziomie dostawcy jest odpieranie lub niwelowanie ataków wolumetrycznych, czyli głównie pakowania ile się da w serwer i niech zdycha, których nie jest w stanie odeprzeć sam usługobiorca, używając reguł programowych na swoim serwerze. To my powinniśmy znać nasze aplikacje, to my powinniśmy być w stanie stworzyć reguły dla nas. Nie można stworzyć tak czułej ochrony dla każdego na zwykłą większą ilość zapytań do serwera WWW.
Jeśli by nawet próbować, to już lepiej chyba wyciąć cały ruch zewnętrzny, zero problemów. My jesteśmy w stanie odróżnić po swojej stronie ruch w postaci floodu na serwer www, bo znamy jego zastosowanie, ale w przypadku innych dokładnie tak samo wyglądający ruch, może być normalnym ruchem do rest api. Przypominam, że przy użyciu HTTPS w sieci nie będą latać adresy stron i inne dane, więc tworzenie firewalla do takich zadań nie jest realne. To nie jest zadanie dla tych systemów, po prostu.
Jeszcze jakby ktoś powiedział, że przecież strona w ogóle nie działała, to jak to może być normalny ruch. To, że apache2 nie radzi sobie z takim ruchem, to tylko kwestia tego, że to pewnie zwykłe apache2, które hostuje jakieś antyczne softy w php, czy inne niezoptymalizowane do dużego ruchu rzeczy, które generują mase procesów. Odpowiedni load balancing i oprogramowanie (nginx, golang) i można przyjmować naprawdę duży ruch. Wszystko zależy jeszcze od tego, co nasze oprogramowanie robi. Jeśli jest to ciężkie forum wykonujące dziesiątki zapytań do bazy, to się nie dziwię, że wszystko zdycha. Szczególnie jeśli to php lub dowolne inne rozwiązanie otwierające proces na zapytanie HTTP do serwera.