Jak byś zbudował runbook do reagowania na ataki DDoS?

Question

Accepted Answer

Runbook DDoS zmienia panikę w listę kontrolną. Jego główna zasada: **przygotuj się przed atakiem, nie podczas niego** — konta zainicjowane, kontakty znane i dashboardy zbudowane, więc odpowiedź to wykonanie, a nie improwizacja.

## Przygotowanie z wyprzedzeniem

- Miej już **zintegrowanego dostawcę CDN/scrubbingu** (DNS skierowany przez niego, tryb "under attack" który możesz włączyć).
- Utrzymuj **baseline'owe dashboardy i alerty** dla ruchu, współczynnika błędów i współczynnika trafień cache'u, aby anomalie wyskakiwały szybko.
- Napisz z góry **reguły WAF i poziomy limitów szybkości** które możesz zacisnąć natychmiast.
- Prowadź **listę kontaktów**: on-call, wsparcie CDN/ISP, kierownictwo i gotowy **szablon strony statusu**.

## Kroki runbooka

1. **Wykryj i ogłoś** — alert lub skorelowana anomalia (zobacz DDoS detection) wyzwala incydent. Natychmiast przypisz kierownika incydentu.
2. **Zidentyfikuj typ ataku i cel** — czy to Layer 3/4 (wolumetryczny) czy Layer 7 (HTTP flood)? Który endpoint, IP lub region? Typ dyktuje które kontrolki angażujesz.
3. **Zaangażuj obrony** — włącz tryb CDN "under attack" / scrubbing, **zaciśnij reguły WAF** i **obniż limity szybkości**. Zacznij od najtańszych, najszerszych kontrolek.
4. **Blokuj / null-route źródła** — blokuj obrażające zakresy IP lub geo na krawędzi; w ostateczności poproś ISP aby **null-route** docelowy IP aby uratować resztę platformy.
5. **Komunikuj** — opublikuj na **stronie statusu**, aktualizuj interesariuszy i prowadź oś czasu. Jasna komunikacja zapobiega drugemu kryzysowi nieporozumienia.
6. **Skaluj jeśli potrzeba** — autoskaluj lub zarezerwuj dodatkową pojemność origin aby zaabsorbować ruch który przejdzie przez filtry podczas gdy się zaciśniają.
7. **Przegląd po incydencie** — gdy będzie stabilnie, przeprowadź blameless retro: co zadziałało, co było wolne, które reguły uczynić stałymi, i które luki zamknąć.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Dlaczego to ważne

Pod rzeczywistym atakiem, opóźnienie i adrenalina sprawiają że ludzie pomijają kroki i pogorszają rzeczy. Runbook daje znaną sekwencję, wstępnie zbudowane narzędzia i jasne role, więc zespół łagodzi w minutach zamiast debatować opcje podczas gdy strona jest down. Najcenniejsza linia w każdym runbooku DDoS to przygotowanie zrobione z wyprzedzeniem — nie możesz zintegrować dostawcę scrubbingu ani znaleźć numeru awaryjnego ISP podczas gdy jesteś zalewany.