Non ho familiarità con Cloudflare, quindi questo è più generale.
In teoria, è possibile che qualcuno modifichi la configurazione del front-end di Cloudflare per indirizzare il sito sul server di qualcun altro, quindi reindirizzare nuovamente al server, ma sembra improbabile.
Puoi sempre verificare gli indirizzi IP in entrata per vedere se sono quelli che ti aspetti da Cloudflare. Se non lo sono, è probabile che vengano da un altro server. Al fine di MITM, avrebbero dovuto inoltrare il traffico intercettato ai tuoi server, in modo da poter controllare gli indirizzi IP per vedere se sono quelli che ti stai aspettando.
Oltre a questo, non sono sicuro di quali segnali vorresti cercare; il server MITM proverebbe a mascherarsi come server Cloudflare (e potrebbe essere effettivamente uno, se l'hacker potrebbe prendere il controllo di un server del genere). Burp Suite potrebbe indicare l'aspetto di una firma falsa. Puoi anche provare una sonda di temporizzazione, navigare nel tuo sito web e vedere se il tempismo è come ti aspetti, o se è più lungo del previsto; quest'ultimo potrebbe indicare che la connessione è stata instradata attraverso un altro server.
Ovviamente, per tutto questo, avrai bisogno dei dati di base, che indicano quale sia lo stato di "normale" situazione.