Если затерли все упоминания о реальном IP, а за место него прописали IP CloudFlare, то это еще не все. Нужно еще запросить у хостинга новый адрес, т.к. старый могут знать злоумышленники. Если у вас сайт, то его можно посмотреть через IP History. Если IP не сменили, то вас атакуют напрямую по нему и не CloudFlaer, не Qrator, и любой другой сервис не сможет вас защитить. Будут бить напрямую по IP, в обход защите.
Со сменой IP нужно также или на уровне firewall, или на nginx (или apache) настроить органичение доступа извне. Обычно сервисы по защите говорят свои подсети, вот для них и нужно разрешить доступ к серверу + еще свой IP прописать, а остальным доступ закрыть.
Эти действия помогут избежать атаки. А что касается CloudFlare, то он сможет защитить и на Pro, и на Busness. Разница только в доп. настройках. На плане Free смогут предложить только смягчение последствий от атаки. Если придете под атакой, то предложат Pro план. Если часто атакуют, то посоветуют вам выбрать Business или Enterprise план.
На любом платном тарифе будет достпен WAF (Предназначен для нейтрализации угроз конфиденциальности данных сайта), функциональность не будет зависить от конкретного тарифа. Если у вас тариф Pro, то будет базовый список правис в WAF с mod_security и открытый исходный список owasp набор правил. Если выберите Business, то будете иметь теже функции, что и Pro + сможете писать свои собственные правила.