Hur skulle du bygga en handbok för beredskap vid DDoS-incidenter?

Question

Accepted Answer

En DDoS-handbok gör panik till en checklista. Dess grundprincip: **förbereda innan attacken, inte under den** — konton etablerade, kontakter kända och instrumentpaneler byggda, så att responsen är exekvering, inte improvisation.

## Förbered i förväg

- Ha en **CDN/scrubbing-provider redan integrerad** (DNS pekat genom den, ett "under attack"-läge som du kan aktivera).
- Behåll **baslinjedashboards och aviseringar** för trafik, felfrekvens och cache-hit-ratio så att anomalier dyker upp snabbt.
- Skriv i förväg **WAF-regler och rate-limit-nivåer** som du kan skärpa direkt.
- Underhåll en **kontaktlista**: on-call-personal, CDN/ISP-support, ledning och en redo **status-page**-mall.

## Handbokens steg

1. **Detektera och förklara** — en avisering eller korrelerad anomali (se DDoS-detektion) utlöser en incident. Tilldela en incidentansvarig omedelbart.
2. **Identifiera attacktyp och mål** — är det Layer 3/4 (volumetrisk) eller Layer 7 (HTTP-flöde)? Vilken slutpunkt, IP eller region? Typen avgör vilka kontroller du engagerar.
3. **Aktivera försvar** — aktivera CDN "under attack"-läge / scrubbing, **skärpa WAF-regler** och **sänk rate limits**. Börja med de billigaste, bredaste kontrollerna.
4. **Blockera / null-route-källor** — blockera kränkande IP-intervall eller geo-områden vid kanten; som en sista utväg, be ISP:n att **null-routa** den riktade IP:n för att spara resten av plattformen.
5. **Kommunicera** — publicera på **status page**, uppdatera intressenter och håll en tidslinje. Tydlig kommunikation förhindrar en andra kris av förvirring.
6. **Skala vid behov** — autoskala eller överprovisioner ursprunglig kapacitet för att absorbera trafik som kommer igenom medan filter skärps.
7. **Granskning efter incidenten** — när den är stabil, kör en blameless retro: vad fungerade, vad var långsamt, vilka regler ska göras permanenta och vilka luckor ska täckas.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Varför det är viktigt

Under en verklig attack gör latens och adrenalin att människor hoppar över steg och gör saker värre. En handbok ger en känd sekvens, förbyggd verktygsuppsättning och tydliga roller, så att teamet minskar problemen på minuter istället för att debattera alternativ medan sajten är nere. Den mest värdefulla raden i någon DDoS-handbok är förberedelsen gjord på förhand — du kan inte integrera en scrubbing-provider eller hitta ISP:ns nummernummer för nödfall medan du översvämmas.