"ok we got so many requests from this IP, lets ban it"
Sì, hai ragione. Più degli indirizzi IP, scansione Cloudflare per vedere quale risorsa stanno richiedendo, quale payload pubblicano, con quale frequenza stanno facendo richieste, ecc.
Quindi, per rispondere alla tua domanda, Cloudflare non si limita a inserire nella blacklist un indirizzo IP del possibile DOS, ma applica un algoritmo complesso per determinare se l'indirizzo di origine è un bot o un utente legittimo. Ma è sicuro che anche migliaia di richieste da più sistemi interni a un'applicazione Web protetta (cloudflare) possono essere facilmente gestite senza colli di bottiglia a causa della loro politica di memorizzazione nella cache, aggiorna la cache della tua app web ogni ora.
Comprendi anche che dopo aver implementato cloudflare o servizi simili alla tua Web-Application, la richiesta di risorse raggiunge la tua Applicazione Web solo se Cloudflare non lo ha memorizzato nella cache. Nel momento in cui viene effettuata la decima richiesta, è già presente nella cache dei loro data center in tutto il mondo e le successive richieste successive vengono distribuite ai data center di CloudFlow close hop da lì in poi.
Ti invito a leggere questo post in Cloudflare (fai clic QUI) per comprendere i dettagli tecnici.
Spero che questo ti dia un senso di Cloudflare come l'implementazione del servizio. E in questi giorni poche centinaia di migliaia di richieste da un singolo indirizzo IP non sono considerate come una minaccia, ma vengono solo analizzate più a titolo di possibilità (poiché sono consapevoli che potrebbe trattarsi di una rete intranet di sistemi che richiedono servizi dalla stessa applicazione Web)