Como você construiria um runbook de resposta a incidentes de DDoS?

Question

Accepted Answer

Um runbook de DDoS transforma pânico em uma checklist. Seu princípio central: **prepare-se antes do ataque, não durante** — contas provisionadas, contatos conhecidos e dashboards construídos, para que a resposta seja execução, não improvisação.

## Prepare com antecedência

- Tenha uma **CDN/provedora de scrubbing já integrada** (DNS apontado através dela, um modo "sob ataque" que você possa ativar).
- Mantenha **dashboards baseline e alertas** para tráfego, taxa de erro e taxa de cache-hit para que anomalias apareçam rapidamente.
- Pré-escreva **regras WAF e níveis de rate-limit** que você possa apertar instantaneamente.
- Mantenha uma **lista de contatos**: on-call, suporte CDN/ISP, liderança e um **template de status-page** pronto.

## Os passos do runbook

1. **Detectar e declarar** — um alerta ou anomalia correlacionada (veja detecção de DDoS) dispara um incidente. Atribua um incident commander imediatamente.
2. **Identificar tipo de ataque e alvo** — é Camada 3/4 (volumétrico) ou Camada 7 (HTTP flood)? Qual endpoint, IP ou região? O tipo dita quais controles você engaja.
3. **Engajar defesas** — ative o modo "sob ataque" da CDN / scrubbing, **aperte regras WAF** e **abaixe rate limits**. Comece com os controles mais baratos e amplos.
4. **Bloquear / null-route fontes** — bloqueie faixas de IP ofensoras ou geos na borda; como último recurso, peça ao ISP para **null-route** o IP alvo para salvar o resto da plataforma.
5. **Comunicar** — poste na **status page**, atualize stakeholders e mantenha uma timeline. Comunicação clara previne uma segunda crise de confusão.
6. **Escalar se necessário** — autoscale ou overprovision capacidade de origem para absorver tráfego que passa pelos filtros enquanto eles se apertem.
7. **Revisão pós-incidente** — uma vez estável, faça uma retro sem culpados: o que funcionou, o que foi lento, quais regras tornar permanentes e quais gaps fechar.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Por que isso importa

Sob um ataque real, latência e adrenalina fazem pessoas pular passos e piorar as coisas. Um runbook dá uma sequência conhecida, tooling pré-construído e papéis claros, para que o time mitigue em minutos em vez de debater opções enquanto o site está fora. A linha mais valiosa em qualquer runbook de DDoS é a preparação feita de antemão — você não pode integrar um provedora de scrubbing ou encontrar o número de emergência do ISP enquanto está sendo inundado.