RonMercier/ddos-tabletop-toolkit

# DDoS桌面演练工具包 **一套供从业者运行DDoS事件响应桌面演练的工具包。** 该工具包源自在Akamai Technologies进行DDoS缓解和事件响应的真实运营经验——这家公司专门的工作就是吸收攻击，以确保其他公司的基础设施保持在线。这不是理论推演。这些场景、决策点和运行手册反映了真实DDoS攻击冲击真实系统时实际发生的情况。 ## 为何创建此工具包 能够度过DDoS攻击的团队与无法度过的团队之间，最大的区别几乎与技术无关。 关键在于他们是否进行过演练。 能够生存的团队早已在一个平静的周二回答了棘手的问题：谁宣布事件？我们首先采取什么措施？谁拥有CDN仪表板的登录凭证？在攻击发生期间，我们如何与客户沟通？“这只是个烟幕弹”的迹象是什么，我们该怎么做？ 无法生存的团队则是在实际攻击期间才找到这些问题的答案——而这恰恰是发现运行手册存在疏漏、无人知道值班轮换安排、以及拥有CDN管理权限的人正在休假的最糟糕时机。 ## 工具包内容 ``` ddos-tabletop-toolkit/ ├── README.md ← You are here ├── scenarios/ │ ├── 01-volumetric-flood.md ← Classic bandwidth saturation attack │ ├── 02-layer7-application.md ← Sophisticated L7 attack on app endpoints │ ├── 03-smokescreen-attack.md ← DDoS as cover for data exfiltration │ ├── 04-economic-dos.md ← Cloud bill attack via auto-scaling abuse │ └── 05-multi-vector.md ← Combined volumetric + L7 escalation ├── runbooks/ │ ├── INCIDENT-RESPONSE.md ← Step-by-step IR runbook │ ├── ESCALATION-CONTACTS.md ← Template for on-call and vendor contacts │ └── COMMUNICATION-TEMPLATES.md ← Customer/stakeholder comms during attack ├── templates/ │ ├── EXERCISE-FACILITATOR.md ← How to run a tabletop (for the facilitator) │ ├── EXERCISE-SCORECARD.md ← Track team decisions and gaps found │ └── POST-EXERCISE-REPORT.md ← Template for after-action documentation └── docs/ ├── banner.png ├── diagram.png ├── ATTACK-TYPES.md ← Reference: the 3 DDoS categories explained └── MITIGATION-LAYERS.md ← Reference: defense-in-depth architecture ``` ## 快速开始：30分钟内运行你的第一次桌面演练 你不需要一整天时间或专门的主持人。一次30分钟的桌面演练足以发现最关键的不足，且几乎零成本。 ### 1. 选择一个场景（5分钟） 根据你最大的风险进行选择： - 初次接触？从 **[场景01 — 容量洪泛](scenarios/01-volumetric-flood.md)** 开始 - 已部署CDN？尝试更难的 **[场景02 — 第7层攻击](scenarios/02-layer7-application.md)** - 最担心数据窃取？运行 **[场景03 — 烟幕掩护](scenarios/03-smokescreen-attack.md)** - 使用云服务/AWS/GCP？**[场景04 — 经济性拒绝服务](scenarios/04-economic-dos.md)** 是让云工程师夜不能寐的那个 ### 2. 召集合适人员（5分钟） 一次桌面演练至少需要： - **1名主持人**（宣读场景，提出插入问题） - **1-2名决策者**（在现实情况中会实际处理此事的人） - 理想人数：3-6人。超过8人会变得难以控制。 ### 3. 设定基本规则（2分钟） 告知团队： - 这是一个安全空间——没有错误答案，只有待发现的疏漏 - “我不知道”是一个有效且有价值的回答——记录下来 - 目标是发现问题，而非证明一切运作良好 ### 4. 运行场景（15分钟） 主持人大声朗读场景，在每个**插入点**暂停并询问：“*你会怎么做？*” 记录每一个决定、每一次犹豫、每一句“我不知道谁负责这个”。 ### 5. 总结复盘（8分钟） 仅需回答三个问题： 1. 哪些环节进展顺利？ 2. 我们在何处遇到了阻碍？ 3. 前3项行动是什么？ 填写**[演练记分卡](templates/EXERCISE-SCORECARD.md)**，并在离开会议室前为每项行动分配负责人。 ## 5个场景 | # | 场景 | 难度 | 时长 | 最适用团队 | |---|---|---|---|---| | 01 | 容量洪泛 | 初级 | 20分钟 | 首次演练，任何团队 | | 02 | 第7层应用攻击 | 中级 | 30分钟 | 已部署CDN的团队 | | 03 | 烟幕掩护 + 数据窃取 | 高级 | 45分钟 | 安全关注型团队 | | 04 | 经济性拒绝服务（云账单） | 中级 | 25分钟 | 云托管基础设施 | | 05 | 多向量攻击升级 | 高级 | 60分钟 | 有经验的事件响应团队 | ## 你可能会发现的疏漏 经过运行数百次事件场景后，以下是最常出现的疏漏。不必感到尴尬——每个人都会发现这些： **人员疏漏（最常见）** - 没有人知道谁正式宣布事件发生 - 拥有CDN/清洗仪表板访问权限的人员不可用 - 客户沟通职责不明确——工程部假设市场部负责，市场部假设工程部负责 **流程疏漏** - 没有记录在案的升级路径——决策临时做出 - CDN上的“攻击模式”从未被测试过，没人知道开关在哪里 - 事件响应计划存在，但在网站宕机时存储在无法访问的地方 **技术疏漏** - 攻击者可发现源站IP（完全绕过CDN防护） - 未设置账单告警——经济性拒绝服务可能持续数小时后才被发现 - 速率限制理论上存在，但具体阈值多年未复审 ## 调整场景 本工具包中的每个场景都是通用编写的，以便应用于你的实际环境。运行前，花5分钟进行定制： - 将“公司网站”替换为你的实际域名 - 将“CDN仪表板”替换为你实际使用的供应商（如Cloudflare、AWS CloudFront等） - 将“值班工程师”替换为你实际人员的姓名和联系方式 - 添加任何环境特定的约束（合规要求、SLA承诺等） 定制化能将演练从“抽象假设”转变为“令人不安的现实”——这正是目标所在。 ## 相关资源 - [securebydefault服务器加固指南](https://github.com/RonMercier/securebydefault-server-hardening) — 针对云VPS的Nginx、UFW、Fail2Ban、SSH配置 - [云安全检查清单](https://github.com/RonMercier/cloud-security-checklist) — 28项安全基线检查清单 - [SecureByDefault.io](https://securebydefault.io) — 真实攻击分析与实践者指南 - [The SecureByDefault Brief](https://newsletter.securebydefault.io) — 每周安全通讯 ## 贡献 欢迎提交Issue或PR用于： - 新场景类型（放大攻击、IoT僵尸网络场景、基于DNS的攻击） - 基于真实事件的运行手册改进 - 额外的沟通模板 - 翻译 每份贡献都应基于现实、经过实践者测试的场景——而非教科书上的理论攻击。 ## 许可证 MIT许可证——可自由用于内部演练、培训、会议或课程。 感谢注明出处，但非必须。 ## 关于 由 **Ron Mercier** 创建 — 云与网络安全工程师。 曾任：**Akamai Technologies** DDoS缓解与事件响应工程师。 网络安全硕士 · CySA+ · PenTest+ · ISC2 CC · AWS CCP。 [securebydefault.io](https://securebydefault.io) · [通讯](https://newsletter.securebydefault.io) · [LinkedIn](https://www.linkedin.com/in/ron-mercier) *“你的第一次DDoS攻击不应也是你的第一次演练。”*

标签：Akamai技术, CDN防护, DDoS防护, 事件管理, 决策点, 响应计划, 团队准备, 培训工具, 多向量攻击, 安全演练, 实战经验, 库, 应急响应, 快速部署, 攻击模拟, 桌面演练, 模板工具, 缓解策略, 网络安全, 运行手册, 防御加固, 隐私保护, 驱动签名利用