Wie würdest du ein DDoS-Incident-Response-Runbook erstellen?

Question

Accepted Answer

Ein DDoS-Runbook verwandelt Panik in eine Checkliste. Das Kernprinzip: **vor dem Angriff vorbereiten, nicht während** — Konten bereitgestellt, Kontakte bekannt, und Dashboards gebaut, sodass die Reaktion Ausführung ist, nicht Improvisation.

## Vorbereitung im Voraus

- Haben Sie einen **CDN/Scrubbing-Provider bereits integriert** (DNS zeigt darauf, ein "unter Angriff"-Modus, den Sie aktivieren können).
- Führen Sie **Basis-Dashboards und Alerts** für Traffic, Fehlerquote und Cache-Hit-Ratio, sodass Anomalien schnell sichtbar werden.
- Schreiben Sie **WAF-Regeln und Rate-Limit-Tiers** vor, die Sie sofort verschärfen können.
- Pflegen Sie eine **Kontaktliste**: Bereitschaftsdienst, CDN/ISP-Support, Geschäftsleitung und ein vorgefertigtes **Status-Page-Template**.

## Die Runbook-Schritte

1. **Erkennen und deklarieren** — ein Alert oder eine korrelierte Anomalie (siehe DDoS-Erkennung) löst einen Incident aus. Weisen Sie sofort einen Incident Commander zu.
2. **Angriffstyp und Ziel identifizieren** — ist es Layer 3/4 (volumetrisch) oder Layer 7 (HTTP-Flood)? Welcher Endpoint, welche IP oder Region? Der Typ bestimmt, welche Kontrollen Sie einsetzen.
3. **Abwehren einleiten** — aktivieren Sie CDN-"unter Angriff"-Modus / Scrubbing, **verschärfen Sie WAF-Regeln**, und **senken Sie Rate Limits**. Beginnen Sie mit den billigsten, breitesten Kontrollen.
4. **Quellen blockieren / null-routen** — blockieren Sie offensivste IP-Bereiche oder Geos am Edge; als letzten Ausweg bitten Sie den ISP, die Ziel-IP zu **null-routen**, um den Rest der Plattform zu schützen.
5. **Kommunizieren** — posten Sie auf der **Status Page**, aktualisieren Sie Stakeholder, und führen Sie eine Zeitleiste. Klare Kommunikation verhindert eine zweite Krise der Verwirrung.
6. **Bei Bedarf skalieren** — autoskalieren oder bereitstellen Sie Origin-Kapazität, um Traffic zu absorbieren, der durch Filter geht, während diese verschärft werden.
7. **Post-Incident-Review** — sobald stabil, führen Sie eine blameless Retro durch: was funktionierte, was war langsam, welche Regeln sollten permanent sein, und welche Lücken müssen geschlossen werden.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Warum es wichtig ist

Unter einem echten Angriff führen Latenz und Adrenalin dazu, dass Menschen Schritte überspringen und Dinge verschlimmern. Ein Runbook gibt eine bekannte Sequenz, vorgefertigte Tools und klare Rollen, sodass das Team in Minuten abwehrt, statt Optionen zu debattieren, während der Standort offline ist. Die wertvollste Zeile in jedem DDoS-Runbook ist die Vorbereitung, die vorher erfolgt — Sie können keinen Scrubbing-Provider integrieren oder die Notfallnummer des ISP finden, während Sie überflutet werden.