"ok, tenemos tantas solicitudes de esta IP, dejémosla"
Sí, tienes razón. Más que las direcciones IP, Cloudflare escanea para ver qué recurso están solicitando, qué carga útil están publicando, con qué frecuencia están realizando solicitudes, etc.
Entonces, para responder a su pregunta, Cloudflare no solo incluye en la lista negra una dirección IP de posible DOS, sino que aplica un algoritmo complejo para determinar si la dirección de origen es un bot o un usuario legítimo. Pero es seguro aceptar que incluso miles de solicitudes de múltiples sistemas internos a una aplicación web protegida (cloudflare) se manejan fácilmente sin cuellos de botella debido a su política de almacenamiento en caché, actualiza la caché para su aplicación web cada hora.
También entiendo que después de implementar cloudflare o servicios similares a su aplicación web, la solicitud de recursos llega a su aplicación web solo si Cloudflare no la tiene en caché. En el momento en que se realiza la décima solicitud, ya se almacena en caché en sus centros de datos de todo el mundo y las siguientes solicitudes se distribuyen a los centros de datos de Cloudflare desde allí en adelante.
Le insto a que lea esta publicación en Cloudflare (haga clic AQUÍ) para comprender los detalles técnicos.
Espero que esto te dé una idea de la implementación del servicio tipo Cloudflare. Y en estos días, unos pocos cientos de miles de solicitudes desde una única dirección IP no se tratan como una amenaza, sino que solo se analizan más para ver las posibilidades (ya que son conscientes de que podría tratarse de una intranet de sistemas que solicitan servicios de la misma aplicación web). / em>