Jak byste vytvořili runbook pro reagování na DDoS incident?

DDoS runbook změní paniku na checklist. Jeho základní princip: připravit se před útokem, ne během něj — účty zřízené, kontakty známé a dashboardy postavené, takže odpověď je spuštění, ne improvizace.

Příprava předem

• Mít CDN/scrubbing provider již integrován (DNS nasměrován skrz něj, režim "pod útokem", který můžete zapnout).
• Udržovat baseline dashboardy a alerty pro traffic, error rate a cache-hit ratio, aby se anomálie objevily rychle.
• Předem napsané WAF pravidla a rate-limit úrovně, které můžete okamžitě utahovat.
• Udržovat seznam kontaktů: on-call, CDN/ISP support, vedení a připravený status-page template.

Kroky runbooku

1. Detekce a deklarace — alert nebo korelovaná anomálie (viz DDoS detekce) spustí incident. Ihned přiřaďte incident commandera.
2. Identifikace typu útoku a cíle — je to Layer 3/4 (volumetrický) nebo Layer 7 (HTTP flood)? Který endpoint, IP nebo region? Typ určuje, které kontroly zapojíte.
3. Aktivace obran — zapněte CDN režim "under attack" / scrubbing, utahujte WAF pravidla a snižujte rate limity. Začněte s nejlevnějšími, nejširšími kontrolami.
4. Blokování / null-route zdrojů — blokujte podezřelé IP rozsahy nebo geo na hraně; jako poslední možnost požádejte ISP o null-route cílené IP, abyste zachránili zbytek platformy.
5. Komunikace — přidejte na status page, aktualizujte stakeholdery a udržujte timeline. Jasná komunikace zabrání druhé krizi zmatku.
6. Škálování v případě potřeby — autoscale nebo overprovision origin kapacity, aby se absorboval traffic, který projde filtry, zatímco se filtry zpřísňují.
7. Post-incident review — jakmile je stabilní, vedete blameless retro: co fungovalo, co bylo pomalé, která pravidla učinit permanentní a které mezery zavřít.

DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW

Proč na to záleží

Pod skutečným útokem latence a adrenalin nutí lidi přeskakovat kroky a zhoršovat věci. Runbook poskytuje známou sekvenci, předpřipravenou tooling a jasné role, takže tým zmírňuje v minutách místo diskuse možností, když je web vypnutý. Nejcennější řádek v jakémkoli DDoS runbooku je příprava provedená předem — během zaplavování nemůžete integrovat scrubbing provider nebo najít číslo nouzového kontaktu ISP.