Sunucu'da Ziyaretçi yerine CloudFlare IP görünmesi ve GET saldırı

Merhaba arkadaşlar centos 7 cpanel kullanıyorum. apache için mod_cloudlare kurup, Litespeed içinde Use Client IP in Header açmama rağmen 80 portuna baktığım zaman sadece cloudflare ipleri gözükmede....

Merhaba arkadaşlar centos 7 cpanel kullanıyorum. apache için mod_cloudlare kurup, Litespeed içinde Use Client IP in Header açmama rağmen 80 portuna baktığım zaman sadece cloudflare ipleri gözükmede. Manyağın biri sitem youtube sıralamasında diye saldırıyor. Piyasa onun olacakmış. sitemi kapatmıyorum yada satmıyorum diye deli gibi saldırıyor.

domlogs 'a baktım orda ipler görünüyor. Çok istek atanları hem bitninja hemde cloudflare üstünden engelledim ama çözüm olmadı.
Kod:

162.158.88.235 - - [16/Aug/2018:11:46:29 -0400] "GET /giris?251mhv7iwp7ajxnp HTTP/1.1" 302 593 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
162.158.88.235 - - [16/Aug/2018:11:46:29 -0400] "GET /giris?3m5z4729eo9vk5v2 HTTP/1.1" 302 593 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
172.68.239.70 - - [16/Aug/2018:11:46:29 -0400] "GET /giris?lkeipixiebwlflss HTTP/1.1" 302 593 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
162.158.88.235 - - [16/Aug/2018:11:46:29 -0400] "GET /giris?4yietdmucnnme9en HTTP/1.1" 302 593 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
162.158.88.235 - - [16/Aug/2018:11:46:29 -0400] "GET /X1pPxI2vCE1TP7h HTTP/1.1" 302 593 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
162.158.88.235 - - [16/Aug/2018:11:46:29 -0400] "GET /qBR3neZdhbBv4Ky HTTP/1.1" 302 593 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
162.158.88.235 - - [16/Aug/2018:11:46:29 -0400] "GET /nwvkpnritqgznuxw HTTP/1.1" 302 593 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"

Bu şekilde saldırıyor hep. Yazılımsal olarak flood korumada 2 saniyede 5 istek atılırsa engellliyor ama oda olmadı. Sunucuda load 200'leri bulmakta. Lütfen biri yardımcı olsun.

Cloud Under attack modu aktif. domlogsta Use Client IP in Header aktif ettikten sonra ipler göründü 80 yukarıdaki gibi ibinlerce istek atan 700 ip adresini banladım sadece 2 saatte 880k istek olmuştu. 80 Portuna bakmak isteyince sadece cloudflare ip var.