DDoS

Een DDoS-aanval (Distributed Denial of Service) is een cyberaanval waarbij een groot aantal gekaapte systemen tegelijkertijd enorme hoeveelheden verkeer naar een doelwit sturen. Het doel is simpel: de server, website of dienst zo zwaar belasten dat deze onbereikbaar wordt voor legitieme gebruikers. Anders dan een reguliere denial-of-service-aanval komt het verkeer bij een DDoS niet vanuit een enkele bron, maar vanuit duizenden tot miljoenen apparaten tegelijk.

De schaal van DDoS-aanvallen groeit explosief. Volgens Cloudflare verdubbelde het totale aantal DDoS-aanvallen wereldwijd in 2025 tot meer dan 47 miljoen, en bereikte de grootste aanval een piek van 31,4 Tbps. In Nederland zijn DDoS-aanvallen een structureel probleem. Het NCSC meldde in 2025 meerdere golven van aanvallen op Nederlandse organisaties, waaronder gemeenten en overheidsdiensten, veelal geclaimd door pro-Russische actoren zoals NoName057(16). De motivatie achter deze aanvallen is vrijwel altijd geopolitiek: ze vinden plaats rondom politieke evenementen zoals de NAVO-top en zijn bedoeld om maatschappelijke onrust te veroorzaken.

Hoe werkt een DDoS-aanval?

Bij een DDoS-aanval gebruikt de aanvaller een netwerk van gecompromitteerde apparaten, een zogeheten botnet. Dit netwerk kan bestaan uit gehackte computers, servers, IoT-apparaten en zelfs smart-tv's. De aanvaller stuurt vanuit dit botnet gelijktijdig verkeer naar het doelwit, waardoor de capaciteit van de server, de bandbreedte of de applicatie wordt uitgeput. Het opzetten van een DDoS-aanval is tegenwoordig laagdrempelig: via zogenoemde booter- of stresserdiensten kan vrijwel iedereen tegen betaling een aanval bestellen, zonder technische kennis.

Er zijn drie hoofdtypen DDoS-aanvallen:

• Volumetrische aanvallen - Deze vormen het meest voorkomende type. De aanvaller overspoelt het netwerk met enorme hoeveelheden data (UDP floods, DNS amplification) om alle beschikbare bandbreedte op te vullen. Volgens het NBIP was DNS Amplification in Q3 2025 verantwoordelijk voor 26% van alle DDoS-aanvallen in Nederland, met pieken tot 132,8 Gbps. Bij een amplification-aanval stuurt de aanvaller kleine verzoeken naar openbare DNS-servers met een vervalst bronadres (het IP van het slachtoffer), waardoor het antwoord vele malen groter terugkomt bij het doelwit.
• Protocolaanvallen - Deze richten zich op kwetsbaarheden in netwerkprotocollen (laag 3 en 4). Denk aan SYN floods, waarbij de aanvaller het TCP-handshake-proces misbruikt om serverresources uit te putten zonder ooit een volledige verbinding op te zetten. De server houdt duizenden half-open verbindingen in het geheugen, waardoor er geen ruimte meer overblijft voor legitieme verbindingen.
• Applicatielaag-aanvallen (L7) - Dit zijn de lastigst te detecteren aanvallen. Ze bootsen legitiem gebruikersverkeer na, zoals HTTP-requests naar inlogpagina's of zoekfuncties, waardoor ze door standaard firewalls heen glippen. Dit type aanval steeg in 2025 met 74% ten opzichte van het jaar daarvoor. Omdat elke request er uitziet als een normale gebruikersactie, heb je geavanceerde gedragsanalyse nodig om ze te onderscheppen.

Moderne aanvallers combineren deze typen steeds vaker in zogenoemde multi-vector aanvallen. Een volumetrische aanval dient dan als afleiding voor het beveiligingsteam, terwijl een applicatielaag-aanval de werkelijke schade aanricht op een ander onderdeel van de infrastructuur. Deze gecombineerde aanpak maakt mitigatie aanzienlijk complexer, omdat je meerdere verdedigingslagen tegelijk moet activeren.

Hoe herken je een DDoS-aanval?

Een DDoS-aanval herken je aan een combinatie van signalen. Hoe eerder je deze signalen oppikt, hoe sneller je kunt reageren en de schade kunt beperken:

• Plotselinge vertraging - Je website of applicatie reageert ineens veel trager dan normaal, zonder dat er een logische verklaring is zoals een marketingcampagne of seizoensgebonden piekmoment.
• Onbereikbaarheid - Servers of diensten zijn volledig onbereikbaar voor gebruikers, terwijl de onderliggende infrastructuur technisch gezien nog functioneert.
• Abnormale verkeerspatronen - Je monitoring toont een extreme piek in inkomend verkeer, vaak vanuit ongebruikelijke geografische regio's of met repetitieve patronen die niet overeenkomen met normaal bezoekersgedrag.
• Hoge CPU- en geheugenbelasting - Serverresources raken volledig uitgeput zonder dat er een bijbehorende normale toename in gebruikersactiviteit is. Load balancers en webservers laten onverklaarbare pieken zien.
• Ongewone verzoeken - Een groot aantal verzoeken naar dezelfde pagina of hetzelfde API-endpoint, of verzoeken die niet overeenkomen met normaal gebruikersgedrag, zoals identieke user-agents of verdachte request-headers.

Goede monitoring en incident response is onmisbaar om DDoS-aanvallen vroegtijdig te detecteren. Zonder adequate monitoring merk je een aanval pas op wanneer je klanten al klagen over onbereikbaarheid. Investeer in real-time verkeersanalyse en stel drempelwaarden in voor automatische alerts bij ongebruikelijke pieken.

Hoe bescherm je je tegen een DDoS-aanval?

Volledige bescherming tegen DDoS-aanvallen is lastig, maar je kunt de impact aanzienlijk beperken met een gelaagde aanpak van preventieve en reactieve maatregelen:

• DDoS-mitigatiedienst - Schakel een gespecialiseerde anti-DDoS-dienst in die aanvalsverkeer filtert voordat het je infrastructuur bereikt. In Nederland biedt de Nationale Beheersorganisatie Internet Providers (NBIP) via NaWas een wasstraat voor internetverkeer. Deze dienst analyseert al het inkomende verkeer en stuurt alleen schoon verkeer door naar je servers.
• Content Delivery Network (CDN) - Verdeel je verkeer over meerdere servers wereldwijd. Dit maakt het lastiger om een enkel punt te overbelasten en zorgt ervoor dat aanvalsverkeer dichter bij de bron wordt opgevangen.
• Rate limiting - Beperk het aantal verzoeken dat een enkel IP-adres per tijdseenheid mag doen. Dit helpt vooral tegen applicatielaag-aanvallen. Combineer rate limiting met CAPTCHA-verificatie voor verdachte bezoekers.
• Netwerksegmentatie - Segmenteer je netwerk zodat een aanval op een onderdeel niet je hele infrastructuur platlegt. Lees meer over netwerksegmentatie als beveiligingsmaatregel. Door kritieke systemen te isoleren beperk je de blast radius van een aanval.
• Incident response plan - Stel een draaiboek op specifiek voor DDoS-aanvallen. Wie doet wat? Welke mitigatiedienst schakel je in? Hoe communiceer je naar klanten? Oefen dit plan minimaal jaarlijks, zodat je team niet voor het eerst tijdens een echte aanval moet improviseren.
• Overcapaciteit en redundantie - Zorg voor meer bandbreedte en serverresources dan je dagelijks nodig hebt. Dit geeft je een buffer bij kleinere aanvallen. Gebruik daarnaast meerdere DNS-providers en datacenters voor redundantie.

Het NCSC adviseert organisaties om DDoS-bescherming als basismaatregel in te richten en regelmatig te testen of de mitigatie daadwerkelijk werkt. Bekijk op IBgidsNL de aanbieders van network security oplossingen die je kunnen helpen met DDoS-bescherming.

Veelgestelde vragen over DDoS-aanvallen

Wat is het verschil tussen een DoS- en een DDoS-aanval?
Een DoS-aanval komt vanuit een enkele bron, terwijl een DDoS-aanval verkeer stuurt vanuit duizenden tot miljoenen bronnen tegelijk. DDoS-aanvallen zijn daardoor veel krachtiger en lastiger te blokkeren, omdat je niet simpelweg een enkel IP-adres kunt blokkeren.

Hoe lang duurt een DDoS-aanval gemiddeld?
De duur varieert sterk. Sommige aanvallen duren slechts enkele minuten, terwijl langdurige aanvallen dagen kunnen aanhouden. De recordaanval van 31,4 Tbps in 2025 duurde slechts 35 seconden, maar kleinere aanhoudende aanvallen kunnen wekenlang voortduren met wisselende intensiteit.

Is een DDoS-aanval strafbaar in Nederland?
Ja. Een DDoS-aanval valt onder computercriminaliteit (artikel 138b en 161sexies Wetboek van Strafrecht). De straf kan oplopen tot een gevangenisstraf van maximaal drie jaar of een geldboete. Ook het aanbieden van DDoS-diensten (booter- en stresser-services) is strafbaar.

Kan een DDoS-aanval data stelen?
Een DDoS-aanval is primair gericht op verstoring, niet op datadiefstal. Maar aanvallers gebruiken DDoS regelmatig als afleidingsmanoeuvre terwijl ze tegelijkertijd proberen in te breken via andere kwetsbaarheden. Behandel een DDoS-aanval daarom nooit als een op zichzelf staand incident, maar onderzoek altijd of er parallel andere aanvalspogingen hebben plaatsgevonden.

Wat kost een DDoS-aanval een organisatie?
De kosten lopen uiteen van enkele duizenden tot miljoenen euro's, afhankelijk van de duur, het type organisatie en de afhankelijkheid van online dienstverlening. Directe kosten omvatten omzetverlies door downtime en kosten voor mitigatie. Indirecte kosten zoals reputatieschade, klantverlies en eventuele boetes bij het niet nakomen van SLA's zijn vaak groter maar lastiger te kwantificeren.

Wie voert DDoS-aanvallen uit in Nederland?
In Nederland komen DDoS-aanvallen van uiteenlopende actoren. Pro-Russische hacktivistengroepen zoals NoName057(16) voeren geopolitiek gemotiveerde aanvallen uit op overheidsinstellingen. Daarnaast zijn er criminele groepen die DDoS als afpersingsmiddel inzetten, en tieners die via booter-diensten aanvallen uitvoeren zonder het strafbare karakter te beseffen.

Bescherm je organisatie tegen DDoS-aanvallen. Vergelijk network security oplossingen op IBgidsNL.