Bir DDoS olayı yanıt runbook'u nasıl oluşturursunuz?

Question

Accepted Answer

Bir DDoS runbook panikten bir kontrol listesine dönüşür. Temel ilkesi: **saldırı sırasında değil, öncesinde hazırlanır** — hesaplar sağlanmış, kişiler bilinir ve panolar hazırlanmıştır, böylece yanıt即興 değil, yürütmedir.

## Önceden hazırlık yapın

- Zaten **CDN/scrubbing sağlayıcısı entegre** edilmiş olmalıdır (DNS'nin içinden yönlendirilmiş, "saldırı altında" modu açabileceğiniz).
- **İkinci plan panolar ve uyarılar** tutun; trafik, hata oranı ve cache-hit oranı için anormalliklerin hızlı ortaya çıkması için.
- Anında sıkılaştırabileceğiniz **WAF kuralları ve rate-limit seviyeleri** önceden yazın.
- Koruyun **iletişim listesi**: on-call, CDN/ISP desteği, liderlik ve hazır **status-page** şablonu.

## Runbook adımları

1. **Tespit et ve bildir** — bir uyarı veya ilişkili anormallık (DDoS tespiti bkz.) bir olayı tetikler. Hemen bir olayı yönetici atayın.
2. **Saldırı türü ve hedef tanımla** — Layer 3/4 (volumetrik) mi yoksa Layer 7 (HTTP flood) mı? Hangi endpoint, IP veya bölge? Tür, hangi kontrolleri kullanacağınızı belirler.
3. **Savunmaları etkinleştir** — CDN "saldırı altında" modu / scrubbing açın, **WAF kurallarını sıkılaştırın** ve **rate limitlerini düşürün**. En ucuz, en geniş kontrollerden başlayın.
4. **Kaynakları engelle / null-route** — saldırgan IP aralıklarını veya coğrafyaları kenarda engelleyin; son çare olarak, platformun geri kalanını korumak için ISP'ye hedeflenen IP'yi **null-route** etmesini isteyin.
5. **İletişim kur** — **status page**'e yazın, paydaşları güncelleyin ve bir zaman çizelgesi tutun. Net iletişim kafa karışıklığının ikinci krizini önler.
6. **Gerekirse ölçeklendir** — autoscale veya orijin kapasitesini fazla sağlayın, böylece filtreler sıkılaşırken geçen trafiği emebilir.
7. **Olay sonrası inceleme** — stabil olduğunda, sorumluluğu olmayan bir retro çalıştırın: ne işe yaradı, ne yavaştı, hangi kurallar kalıcı hale gelir ve hangi boşluklar kapatılır.

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## Neden önemli

Gerçek bir saldırı altında, gecikme ve adrenalin insanları adımları atlamaya ve işleri kötüleştirmeye zorlar. Bir runbook, bilinen bir sıra, önceden oluşturulmuş araçlar ve net roller sağlar, böylece ekip site kapalıyken seçenekleri tartışmak yerine dakikalar içinde azaltır. Herhangi bir DDoS runbook'taki en değerli satır, öncesinde yapılan hazırlıktır — sel suyu basmış iken scrubbing sağlayıcısını entegre edemez veya ISP'nin acil durum numarasını bulamazzınız.