Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Booter

Aanvallen

Een dienst van criminelen om een DDoS-aanval mee uit te voeren.

Een booter is een illegale online dienst waarmee je tegen betaling DDoS-aanvallen kunt uitvoeren op willekeurige doelwitten via het internet. Booters worden ook wel stressers of DDoS-for-hire diensten genoemd en verlagen de drempel voor cybercriminaliteit tot het niveau van een simpele online aankoop. Voor slechts een paar euro per maand kan iemand zonder enige technische kennis een website, gameserver, bedrijfsnetwerk of online dienst platleggen met een stortvloed aan netwerkverkeer. Volgens Imperva presenteren booter-diensten zich vaak als legitieme stresstest-tools voor netwerkbeheerders, maar worden ze in de praktijk vrijwel uitsluitend gebruikt voor illegale aanvallen op systemen van anderen.

Het onderscheid tussen een booter en een legitieme stresstester is cruciaal om de juridische en ethische grenzen te begrijpen. Een IP-stresser is in principe een legitiem hulpmiddel dat IT-teams en netwerkbeheerders gebruiken om hun eigen netwerk te testen op belastbaarheid, veerkracht en beschikbaarheid onder hoge belasting. Een booter gebruikt dezelfde onderliggende technologie maar richt zich expliciet op het aanvallen van systemen die je niet in eigendom hebt, wat in vrijwel alle landen een strafbaar feit is dat valt onder computercriminaliteitswetgeving. De grens is helder: het testen van je eigen infrastructuur is legaal en zelfs aanbevolen als onderdeel van je beveiligingsbeleid, het aanvallen van andermans systemen is cybercriminaliteit ongeacht hoe het wordt verpakt, vermarkt of gepresenteerd.

Hoe werkt een booter?

Een booter werkt door enorme hoeveelheden netwerkverkeer te genereren en te richten op het IP-adres van het doelwit, waardoor de bandbreedte, verwerkingscapaciteit of geheugen van het doelwitsysteem wordt uitgeput. De dienst maakt hiervoor gebruik van botnets (netwerken van gehackte computers, servers en IoT-apparaten), gehuurde cloudservers of versterkte reflectie-aanvallen via kwetsbare DNS-, NTP- of Memcached-servers die wereldwijd bereikbaar zijn. Bij een reflectie-aanval stuurt de booter verzoeken naar deze kwetsbare servers met het IP-adres van het slachtoffer als vervalst afzenderadres, waardoor de antwoorden als een stortvloed bij het doelwit terechtkomen in plaats van bij de booter zelf.

De versterkingsfactor bij reflectie-aanvallen kan enorm zijn: een relatief klein verzoek van enkele bytes kan een antwoord genereren dat tientallen tot honderden keren groter is. Bij DNS-amplificatie zijn versterkingsfactoren van 50x gebruikelijk, en bij Memcached-reflectie zijn factoren tot 51.000x gedocumenteerd. Dit betekent dat een booter met beperkte eigen bandbreedte toch aanvallen van tientallen tot honderden gigabit per seconde kan genereren, voldoende om de meeste onbeschermde websites en diensten volledig onbereikbaar te maken voor legitieme gebruikers.

Booter-diensten presenteren zich als professionele webdiensten met een gebruiksvriendelijke interface, verschillende abonnementsplannen met oplopende aanvalsduur en bandbreedte, live klantondersteuning via chat, gedetailleerde gebruikershandleidingen en zelfs referral-programma's voor bestaande klanten. Prijzen beginnen al bij enkele euro's voor een korte aanval van een paar minuten en lopen op tot tientallen euro's per maand voor langere aanvallen met meer bandbreedte en geavanceerdere aanvalsmethoden. Sommige diensten bieden gratis proefperiodes of demo-aanvallen aan om nieuwe klanten te trekken en te overtuigen van de effectiviteit.

De gebruikers van booter-diensten zijn overwegend zogenaamde 'script kiddies': mensen met beperkte technische kennis die de dienst gebruiken voor wraakacties tegen andere gamers, het platleggen van concurrerende gameservers, het intimideren van online tegenstanders of puur vandalisme zonder specifiek doel. Ondanks hun gebrek aan technische vaardigheden kunnen ze via booters aanvallen uitvoeren die qua impact vergelijkbaar zijn met aanvallen van ervaren hackers, wat deze laagdrempelige diensten bijzonder gevaarlijk maakt voor de beschikbaarheid en stabiliteit van het bredere internet.

Hoe herken je een booter-aanval?

De symptomen van een booter-aanval zijn vergelijkbaar met die van andere DDoS-aanvallen maar hebben enkele kenmerkende patronen. Je website of online dienst wordt plotseling traag of volledig onbereikbaar, netwerkapparatuur raakt overbelast en toont hoge CPU- en geheugenwaarden, en legitieme gebruikers kunnen geen verbinding meer maken of ervaren extreme vertragingen. In monitoringtools zie je een plotselinge, onverklaarbare piek in inkomend netwerkverkeer, vaak afkomstig van een groot aantal verschillende IP-adressen die geografisch wijd verspreid zijn over meerdere landen en continenten.

Kenmerkend voor booter-aanvallen is dat ze vaak korter duren dan aanvallen door geavanceerde dreigingsactoren of hacktivistische groepen. De meeste booter-abonnementen bieden aanvallen van enkele minuten tot maximaal een uur per sessie, afhankelijk van het betaalde abonnement en de geselecteerde aanvalsmethode. De aanvallen komen ook vaak in golven: een korte intensieve aanval, een pauze van enkele minuten, en dan weer een aanval. Dit herhalende patroon kan helpen bij het identificeren van een booter als bron in je netwerkanalyse en logbestanden, in tegenstelling tot een aanhoudende DDoS-aanval door een eigen botnet onder controle van een meer geavanceerde en gemotiveerde aanvaller.

Hoe bescherm je je tegen een booter?

Bescherming tegen booter-aanvallen begint met dezelfde fundamentele maatregelen als tegen DDoS-aanvallen in het algemeen, maar de relatief beperkte duur en bandbreedte van de meeste booter-aanvallen maakt ze goed te mitigeren met de juiste voorbereiding. Implementeer een DDoS-mitigatie oplossing die kwaadaardig verkeer kan detecteren en filteren voordat het je netwerk bereikt en je diensten verstoort. Cloud-based DDoS-beschermingsdiensten van gespecialiseerde providers kunnen volumetrische aanvallen absorberen die je eigen infrastructuur direct zouden overweldigen en onbereikbaar zouden maken.

Zorg dat je netwerkapparatuur correct is geconfigureerd om veelgebruikte DDoS-vectoren te mitigeren. Schakel onnodige services uit op publiek bereikbare systemen, beperk de rate van inkomende verzoeken per bron-IP, en implementeer firewall-regels die bekende aanvalspatronen en spoofed verkeer herkennen en blokkeren. Voor webapplicaties biedt een Web Application Firewall extra bescherming tegen application-layer aanvallen die sommige geavanceerdere booters ook aanbieden naast volumetrische aanvallen. Monitor je netwerkverkeer continu met geautomatiseerde alerting zodat je aanvallen vroeg detecteert en je mitigatiemaatregelen snel kunt activeren.

De internationale opsporingsinspanning Operation PowerOFF, een structurele samenwerking tussen de FBI, Europol en nationale politie-eenheden waaronder de Nederlandse politie, heeft sinds 2018 tientallen booter-diensten offline gehaald, hun infrastructuur in beslag genomen en hun operators gearresteerd en vervolgd. Tussen 2022 en 2025 werden bedrijven, game-websites, overheidsinstellingen en onderwijsinstellingen aangevallen via deze diensten. In de meest recente fase werden 27 booter-sites in een nacht offline gehaald en volgden arrestaties in Frankrijk, Duitsland, de VS en Nederland. Gebruikers van booters worden steeds vaker opgespoord via in beslag genomen databases en vervolgd, zelfs als ze de dienst maar een enkele keer hebben gebruikt voor een korte aanval.

Veelgestelde vragen over booter

Is het gebruik van een booter strafbaar?

Ja. Het uitvoeren van een DDoS-aanval is een strafbaar feit onder de Wet computercriminaliteit in Nederland en vergelijkbare wetten internationaal. Dit geldt ook wanneer je een booter-dienst inhuurt om de aanval namens jou uit te voeren. Straffen kunnen oplopen tot gevangenisstraffen en hoge boetes.

Wat is het verschil tussen een booter en een stresser?

Technisch gezien gebruiken ze dezelfde aanvalsmethoden en infrastructuur. Het verschil zit in het gebruik: een stresser test je eigen netwerk en is legaal, een booter valt andermans systemen aan en is illegaal. In de praktijk worden de termen door elkaar gebruikt, waarbij booter de gangbare term is voor de illegale variant.

Kunnen booter-aanvallen echt schade aanrichten?

Ja. Booter-aanvallen kunnen websites en online diensten urenlang onbereikbaar maken, wat leidt tot direct omzetverlies, reputatieschade, klantontevredenheid en SLA-overtredingen. Voor bedrijven die afhankelijk zijn van online beschikbaarheid kan zelfs een korte aanval aanzienlijke schade veroorzaken.

Hoe worden booter-gebruikers opgespoord?

Opsporingsdiensten werken internationaal samen via operaties zoals Operation PowerOFF. Bij het offline halen van booter-diensten worden complete gebruikersdatabases in beslag genomen, inclusief betalingsgegevens, IP-adressen en aanvalslogboeken. Gebruikers worden daarmee geidentificeerd en vervolgd.

Wat moet je doen als je wordt aangevallen door een booter?

Activeer je DDoS-mitigatiedienst als je die hebt. Neem contact op met je internetprovider voor hulp bij het filteren van kwaadaardig verkeer. Documenteer de aanval met timestamps en verkeerspatronen voor eventuele aangifte. Doe aangifte bij de politie, want DDoS-aanvallen zijn strafbare feiten.

Bescherm je organisatie. Vind de juiste aanbieder via DDoS-bescherming op IBgidsNL.