Kaip jūs sudarytumėte DDoS incidento atsakymo žinyną?

Question

Accepted Answer

DDoS žinynas paverčia paniką į kontrolinį sąrašą. Jo pagrindinė taisyklė: **ruoškitės prieš ataką, o ne jos metu** — paskyros suaktyvintos, kontaktai žinomi ir prietaisai sukurti, todėl atsakas yra vykdymas, o ne improvizacija.

## Ruoškitės iš anksto

- Turėkite **CDN/valymo paslaugos tiekėją jau integruotą** (DNS nukreiptą per jį, režimą „po ataka", kurį galite iš karto suaktyvinti).
- Palaikykite **bazinius prietaisus ir perspėjimus** eismo, klaidų nuorodos ir talpyklos smūgio nuorodos atžvilgiu, kad anomalijos būtų greitai pastebimos.
- Iš anksto parašykite **WAF taisykles ir normos ribos**, kurias galite iš karto suveržti.
- Prižiūrėkite **kontaktų sąrašą**: budintis personodas, CDN/ISP pagalbą, vadovybę ir paruoštą **būsenos puslapių** šablonį.

## Žinyno žingsniai

1. **Aptikimas ir deklaracija** — pranešimas ar sureliacinis nukrypimai (žr. DDoS aptikimas) suaktyvina incidentą. Iš karto paskirite incidento vadovą.
2. **Atakos tipo ir tikslo nustatymas** — tai 3/4 sluoksnio (volumetrinė) ar 7 sluoksnio (HTTP plūda) ataka? Kuris galas, IP ar regionas? Tipas lemia, kuriuos valdiklius įjungiate.
3. **Gynybos suaktyvinimas** — įjunkite CDN režimą "po ataka" / valymą, **suveržkite WAF taisykles** ir **sumažinkite normos ribas**. Pradėkite nuo pigiausių, plačiausių valdiklių.
4. **Blokavimas / nulinis maršrutizavimas šaltinių** — blokuokite pažeidžiamas IP diapazones ar geografines zonas krašte; kaip paskutinis šaltinis, paprašykite ISP **nulinį maršrutizavimą** tiksliniam IP, kad išgelbėtumėte likusią platformą.
5. **Komunikacija** — paskelkite **būsenos puslapyje**, atnaujinkite suinteresuotąsias šalis ir palaikykite laiko juostos sąrašą. Aiški komunikacija neatkreipia antrosios painiavos krizės.
6. **Mastelis jei reikalinga** — automatinis mastelis arba iš anksto suteikite kilmės pajėgumus gauti srautą, kuris praeina pro filtrus, kai jie suveržiami.
7. **Po incidento peržiūra** — kai stabilizuota, paleiskite be kaltės retrospektyvą: kas veikė, kas buvo lėta, kurias taisykles padaryti nuolatines ir kurias spragas uždaryti.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Kodėl tai svarbu

Tikros atakos metu latencija ir adrenalinas verčia žmones praleidžia žingsnius ir pabloginti situaciją. Žinynas suteikia žinomą seką, iš anksto subuilldytus įrankius ir aiškius vaidmenis, todėl komanda sumažina pavojų minutėmis, o ne debatadama galimybes, kol puslapis nutrūksta. Svarbiausias eilutinis bet kuris DDoS žinynas yra paruoša, atliekama iš anksto — negalite integruoti valymo paslaugos tiekėjo ar rasti ISP skubaus skambučio numerio, kai jus plūdo.