Hvordan ville du bygge en DDoS-incidenthandbog?

Question

Accepted Answer

En DDoS-handbog gør panik til en tjekliste. Dens kerneprincip: **forbered dig før angrebet, ikke under det** — konti er etableret, kontakter er kendt, og instrumentborde er bygget, så reaktionen er eksekvering, ikke improvisation.

## Forberedelse på forhånd

- Har et **CDN-/scrubbing-udbyder allerede integreret** (DNS peget gennem det, en "under angreb"-tilstand du kan slå til).
- Behold **baseline-instrumentborde og advarsler** for trafik, fejlrate og cache-hit-forhold, så anomalier kommer til syne hurtigt.
- Skriv på forhånd **WAF-regler og hastighedsgrænseklasser**, du kan stramme øjeblikkeligt.
- Vedligehold en **kontaktliste**: on-call, CDN-/ISP-support, ledelse og en klar **status-side**-skabelon.

## Handbogstrinene

1. **Registrer og erklær** — en advarsel eller korreleret anomali (se DDoS-registrering) udløser en hændelse. Tildel en incidentansvarlig øjeblikkeligt.
2. **Identificer angrebstype og mål** — er det lag 3/4 (volumetrisk) eller lag 7 (HTTP-strom)? Hvilket slutpunkt, IP eller region? Typen bestemmer, hvilke kontroller du bruger.
3. **Iværksæt forsvar** — slå CDN "under angreb"-tilstand/scrubbing til, **stram WAF-regler**, og **sænk hastighedsgrænserne**. Start med de billigste, bredeste kontroller.
4. **Blokér / null-rout kilder** — blokér krænkende IP-intervaller eller geoer ved kanten; som sidste udvej, spørg ISP'en om at **null-route** den målrettede IP for at spare resten af platformen.
5. **Kommunikér** — post til **status-siden**, opdater interessenter, og behold en tidslinje. Klar kommunikation forhindrer en anden krise med forvirring.
6. **Skaler hvis nødvendigt** — autoskaler eller overudstyrer oprindelig kapacitet for at absorbere trafik, der kommer gennem, mens filtre strammes.
7. **Granskning efter hændelse** — når det er stabilt, kør en skyldløs retrospektive: hvad virkede, hvad var langsomt, hvilke regler skal gøres permanente, og hvilke huller skal lukkes.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Hvorfor det betyder noget

Under et rigtigt angreb gør latency og adrenalin, at mennesker springer trin over og gør tingene værre. En handbog giver en kendt sekvens, forudbyg værktøjer og klare roller, så holdet reducerer risikoen på minutter i stedet for at debattere muligheder, mens siden er nede. Den mest værdifulde linje i enhver DDoS-handbog er den forberedelse, der udføres på forhånd — du kan ikke integrere en scrubbing-udbyder eller finde ISP'ens nødnummer, mens du bliver oversvømmet.