Kako biste izradili runbook za reagiranje na DDoS incident?

Question

Accepted Answer

DDoS runbook pretvara paniku u listu. Njegovo glavno načelo: **pripremite se prije napada, ne tijekom njega** — računi dostupni, kontakti poznati, i nadzorne ploče izgrađene, tako da je odgovor izvršavanje, ne improvizacija.

## Pripremite se unaprijed

- Trebate **CDN/scrubbing provider već integriran** (DNS usmjeren kroz njega, "under attack" modu koji možete aktivirati).
- Održavajte **baseline nadzorne ploče i alarme** za promet, error rate i cache-hit ratio tako da se anomalije brzo pojave.
- Unaprijed napišite **WAF pravila i rate-limit razine** koje možete odmah pojačati.
- Održavajte **listu kontakata**: on-call, CDN/ISP podrška, rukovodstvo, i spreman **template stranice statusa**.

## Koraci runbooka

1. **Detektirajte i deklarisajte** — alarm ili koreliirana anomalija (vidi DDoS detekcija) pokreće incident. Odmah dodijelite incident commandera.
2. **Identificirajte tip napada i cilj** — je li to Layer 3/4 (volumetric) ili Layer 7 (HTTP flood)? Koja endpoint, IP ili regija? Tip određuje koja kontrola se uključuje.
3. **Angažirajte obrane** — uključite CDN "under attack" modu / scrubbing, **pojačajte WAF pravila**, i **snizite rate limits**. Počnite s najjeftinijim, najširim kontrolama.
4. **Blokirajte / null-route izvore** — blokirajte problematične IP rangove ili geografske lokacije na rubu; kao zadnja opcija, zamolite ISP da **null-route** ciljanu IP da spasi ostatak platforme.
5. **Komunicirajte** — objavite na **stranici statusa**, ažurirajte zainteresirane strane, i vodite vremensku liniju. Jasan komunikacijski odgovor sprječava drugu krizu zabune.
6. **Skalira ako je potrebno** — autoscale ili overprovisiona origin kapacitet da apsorbira promet koji prođe kroz filtere dok se oni ne pojačaju.
7. **Post-incident pregled** — kada bude stabilno, provedite blameless retro: što je radilo, što je bilo sporo, koja pravila trebaju biti trajna, i koji su jaz ostali.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Zašto je važno

Pod pravim napadom, latencija i adrenalin navode ljude da preskoče korake i pogoršaju situaciju. Runbook daje poznati redoslijed, unaprijed izgrađene alate, i jasne uloge, tako da tim smanjuje udar u minutama umjesto da se raspravlja o opcijama dok stranica ne padne. Najvrjednija linija u bilo kojem DDoS runbooku je pripremanje koja se provede unaprijed — ne možete integrirati scrubbing providera ili pronaći ISP-ov broj za nužde dok vas guše.