Помогает от атак 4 слоя (e.g. трафик который вливается по IP адресу), если атаки раньше проходили по 4 слою, то надо менять IP адрес (back-end сервера), и проводить все под-домены по cloudflare чтобы back-end IP адрес невозможно было узнать.
От атак 7 слоя помогает 5 секундная задержка, однако она может обходиться эмулированием куки каждым атакующим ботом (или средством атаки которые использует амплификацию (e.g. joomla/xml-rpc и другие)).
Сейчас множество ботнетов обходят данный вид куки защиты (поскольку эта самая простая, простая проверка user-agent'a с нормальными, да выдача куки, ну и пару бесполезных вообще), все это легко эмулировать на боте в хорошме ботнет-скрипте, поэтому если вы подвергаетесь атакам от школьников - то поможет, если от "специалистов" - то нет.
Можете попробовать взять PRO тариф за 20$, и там поставить капчу при входе, 99.99% систем сейчас не могут эмулировать (каким-либо другим способом обходить) капчу, и она будет защищать сайт от атак 7 слоя (HTTP запросы), ну и если вы подвергались до этого L4 атакам, меняйте IP адрес и все с вашим сайтом будет хорошо, единственное что в CF "не так" - это то что иногда он пробивается даже простыми запросами без каких-либо обходов, он просто иногда берет и пускает трафик (запрос(ы)) без проверки.