你将如何构建一个DDoS事件响应手册？

Question

你将如何构建一个DDoS事件响应手册？

Accepted Answer

DDoS手册将恐慌转化为检查清单。其核心原则：**在攻击前准备，而不是在攻击时** — 账户已配置，联系人已知晓，仪表板已构建，这样响应就是执行，而不是即兴创作。

## 提前准备

- **已集成CDN/scrubbing提供商**（DNS通过它指向，一个你可以立即切换的"under attack"模式）。
- 保持**基线仪表板和警报**用于流量、错误率和缓存命中率，以便异常能快速显现。
- 预先编写**WAF规则和速率限制层级**，可以立即收紧。
- 维护一个**联系人清单**：值班人员、CDN/ISP支持、领导层，以及一个准备好的**状态页**模板。

## 手册步骤

1. **检测和声明** — 一个警报或相关异常（见DDoS检测）触发事件。立即分配事件指挥官。
2. **识别攻击类型和目标** — 是第3/4层（容量型）还是第7层（HTTP洪泛）？哪个端点、IP或地区？类型决定你采用哪些控制措施。
3. **启用防御** — 打开CDN "under attack"模式/scrubbing，**收紧WAF规则**，**降低速率限制**。从最便宜、最广泛的控制措施开始。
4. **阻止/空路由源** — 在边缘阻止冒犯性IP范围或地理位置；作为最后手段，要求ISP **空路由**目标IP以保护平台的其余部分。
5. **沟通** — 发布到**状态页**，更新利益相关者，保持时间线。清晰的沟通可以防止第二场困惑危机。
6. **按需扩展** — 自动扩展或过度配置源容量以吸收通过过滤器的流量，同时规则收紧。
7. **事件后审查** — 稳定后，进行无责任的回顾：什么有效，什么太慢，哪些规则要永久化，哪些差距要弥补。

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## 为什么这很重要

在真正的攻击下，延迟和肾上腺素会使人们跳过步骤并使事情恶化。手册提供了已知的顺序、预构建的工具和明确的角色，这样团队可以在几分钟内缓解，而不是在网站宕机时争论选项。任何DDoS手册中最有价值的一行是事先完成的准备 — 当你被淹没时，你无法集成scrubbing提供商或找到ISP的紧急号码。