আপনি কীভাবে একটি DDoS ঘটনা প্রতিক্রিয়া রানবুক তৈরি করবেন?

Question

Accepted Answer

একটি DDoS রানবুক আতঙ্ককে একটি চেকলিস্টে পরিণত করে। এর মূল নীতি: **আক্রমণের সময় নয়, আগে থেকে প্রস্তুতি নিন** — অ্যাকাউন্ট প্রস্তুত, যোগাযোগ পরিচিত, এবং ড্যাশবোর্ড তৈরি করা হয়েছে, তাই প্রতিক্রিয়া হল সম্পাদন, অনুমান নয়।

## আগে থেকে প্রস্তুতি নিন

- একটি **CDN/scrubbing প্রদানকারী ইতিমধ্যে একীভূত** রাখুন (DNS এর মাধ্যমে নির্দেশিত, একটি "আক্রমণাধীন" মোড যা আপনি ফ্লিপ করতে পারেন)।
- **বেসলাইন ড্যাশবোর্ড এবং সতর্কতা** রাখুন ট্রাফিক, ত্রুটির হার, এবং cache-hit অনুপাতের জন্য যাতে ব্যতিক্রমগুলি দ্রুত পৃষ্ঠে আসে।
- **WAF নিয়ম এবং rate-limit স্তর** পূর্ব-লিখন করুন যা আপনি তাৎক্ষণিকভাবে কঠোর করতে পারেন।
- একটি **যোগাযোগ তালিকা** বজায় রাখুন: on-call, CDN/ISP সহায়তা, নেতৃত্ব, এবং একটি প্রস্তুত **status-page** টেমপ্লেট।

## রানবুক ধাপসমূহ

1. **সনাক্ত করুন এবং ঘোষণা করুন** — একটি সতর্কতা বা সংযুক্ত অসংগতি (DDoS সনাক্তকরণ দেখুন) একটি ঘটনা ট্রিগার করে। অবিলম্বে একটি ঘটনা কমান্ডার নিয়োগ করুন।
2. **আক্রমণের ধরন এবং লক্ষ্য চিহ্নিত করুন** — এটি Layer 3/4 (volumetric) নাকি Layer 7 (HTTP flood)? কোন endpoint, IP, বা অঞ্চল? ধরনটি নির্ধারণ করে কোন নিয়ন্ত্রণগুলি আপনি জড়িত করবেন।
3. **প্রতিরক্ষা জড়িত করুন** — CDN "আক্রমণাধীন" মোড চালু করুন / scrubbing, **WAF নিয়ম কঠোর করুন**, এবং **rate limits কমান**। সবচেয়ে সস্তা, বৃহত্তম নিয়ন্ত্রণগুলি দিয়ে শুরু করুন।
4. **উৎসগুলি অবরুদ্ধ / null-route করুন** — প্রান্তে অপরাধী IP পরিসীমা বা geos অবরুদ্ধ করুন; শেষ অবলম্বন হিসাবে, ISP কে অনুরোধ করুন **null-route** লক্ষ্যবস্তু IP প্ল্যাটফর্মের বাকিটি বাঁচানোর জন্য।
5. **যোগাযোগ করুন** — **status page** এ পোস্ট করুন, স্টেকহোল্ডারদের আপডেট করুন, এবং একটি সময়রেখা রাখুন। স্পষ্ট যোগাযোগ একটি বিভ্রান্তির দ্বিতীয় সংকট প্রতিরোধ করে।
6. **প্রয়োজনে স্কেল করুন** — autoscale বা origin ক্ষমতা overprovision করুন ফিল্টারগুলি কঠোর হওয়ার সময় যে ট্রাফিক পায় তা শোষণ করতে।
7. **ঘটনা-পরবর্তী পর্যালোচনা** — একবার স্থিতিশীল হলে, একটি নিন্দামুক্ত রেট্রো চালান: কী কাজ করেছে, কী ধীর ছিল, কোন নিয়মগুলি স্থায়ী করতে হবে, এবং কোন ফাঁক বন্ধ করতে হবে।

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## এটি গুরুত্বপূর্ণ কেন

বাস্তব আক্রমণের অধীনে, বিলম্ব এবং অ্যাড্রেনালিন মানুষকে পদক্ষেপগুলি এড়িয়ে যেতে এবং জিনিসগুলি আরও খারাপ করতে দেয়। একটি রানবুক একটি পরিচিত অনুক্রম, পূর্ব-নির্মিত সরঞ্জাম, এবং স্পষ্ট ভূমিকা দেয়, তাই দলটি সাইটটি বন্ধ থাকার সময় বিকল্পগুলি বিতর্ক করার পরিবর্তে মিনিটের মধ্যে হ্রাস করে। যেকোনো DDoS রানবুকে সবচেয়ে মূল্যবান লাইন হল পূর্বে করা প্রস্তুতি — আপনি যখন প্লাবিত হচ্ছেন তখন একটি scrubbing প্রদানকারী একীভূত করতে বা ISP-এর জরুরী নম্বর খুঁজে পেতে পারবেন না।