Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Distributed Denial of Service aanval

Aanvallen

Een aanval op de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur. Het resultaat van deze aanval is dat digitale diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten.

Een Distributed Denial of Service aanval, afgekort DDoS-aanval, is een van de meest voorkomende en ontwrichtende vormen van cyberaanvallen. Bij een DDoS-aanval wordt een server, netwerk of online dienst overspoeld met enorme hoeveelheden verkeer vanaf duizenden tot miljoenen gehackte apparaten tegelijk. Het doel is simpel: de dienst onbereikbaar maken voor legitieme gebruikers. In tegenstelling tot een gewone DoS-aanval, waarbij een enkele bron wordt gebruikt, maakt een DDoS-aanval gebruik van een gedistribueerd netwerk van gecompromitteerde systemen, een zogenaamd botnet. Deze aanvalsvorm treft zowel grote ondernemingen als kleine organisaties en kan ernstige financiele en operationele schade veroorzaken.

In 2025 steeg het aantal DDoS-aanvallen wereldwijd met 75 procent ten opzichte van het voorgaande jaar. Volgens het NCSC richtten pro-Russische actoren zoals NoName057(16) DDoS-aanvallen op gemeentelijke websites van Utrecht en Den Haag rondom de NAVO-top. Cloudflare blokkeerde alleen al in het eerste kwartaal van 2025 meer dan 20,5 miljoen DDoS-aanvallen, een stijging van 358 procent. In 2026 worden DDoS-aanvallen steeds vaker als afleidingsmanoeuvre ingezet voor andere, schadelijkere aanvallen zoals ransomware-infecties of datadiefstal.

Hoe werkt een DDoS-aanval?

Een DDoS-aanval verloopt in meerdere fasen. Eerst bouwt de aanvaller een botnet op door malware te verspreiden naar kwetsbare apparaten zoals computers, routers, beveiligingscamera’s en IoT-apparaten. Zodra het botnet groot genoeg is, stuurt de aanvaller een commando waarmee alle geinfecteerde apparaten tegelijkertijd verkeer naar het doelwit sturen.

Er bestaan drie hoofdtypen DDoS-aanvallen. Volumetrische aanvallen overspoelen de bandbreedte van het doelwit met enorme hoeveelheden data, zoals bij UDP floods en DNS amplification aanvallen. Protocolaanvallen richten zich op kwetsbaarheden in netwerkprotocollen, zoals SYN floods die de verbindingstabellen van een server uitputten. Applicatielaag-aanvallen zijn gericht op specifieke webapplicaties en bootsen legitiem verkeer na, waardoor ze moeilijker te detecteren zijn. Een voorbeeld hiervan is een HTTP flood die duizenden schijnbaar normale paginaverzoeken per seconde verstuurt.

De langste geregistreerde DDoS-aanval in 2025 duurde meer dan 12.000 minuten, ruim acht dagen onafgebroken. In totaal waren er in 2025 gedurende 322 dagen actieve DDoS-aanvallen geregistreerd, wat neerkomt op 88 procent van het jaar. Moderne botnets bestaan vaak uit honderdduizenden gecompromitteerde IoT-apparaten, van slimme thermostaten tot IP-camera’s, die elk een kleine hoeveelheid verkeer genereren maar samen een verpletterende capaciteit vormen.

Hoe herken je een DDoS-aanval?

Het herkennen van een DDoS-aanval vereist aandacht voor specifieke signalen in je netwerk en systemen. De meest voor de hand liggende indicator is een plotselinge, onverklaarbare vertraging of volledige onbereikbaarheid van je website of online dienst. Andere signalen zijn een abnormaal hoog volume aan verkeer vanuit een beperkt aantal IP-reeksen, een ongebruikelijk patroon in het type verzoeken, of een piek in verkeer op ongebruikelijke tijdstippen.

Op netwerkniveau kun je een DDoS-aanval herkennen aan verzadiging van de beschikbare bandbreedte, een stijging in het aantal halfopen TCP-verbindingen, of een plotselinge toename van DNS-verzoeken. Monitoringtools en een intrusion detection system helpen bij het vroegtijdig signaleren van afwijkend verkeer. Je firewall-logs tonen mogelijk een patroon van verzoeken dat niet overeenkomt met normaal gebruikersgedrag.

Het verschil met een legitieme verkeerspiek, bijvoorbeeld door een marketingcampagne, zit in de aard van het verkeer. DDoS-verkeer is doorgaans uniform, afkomstig van verdachte locaties en gericht op het uitputten van specifieke resources. Geavanceerde monitoringplatforms gebruiken machine learning om deze patronen automatisch te herkennen en te onderscheiden van normaal gebruik. Vroegtijdige detectie is cruciaal, want hoe sneller je een aanval identificeert, hoe effectiever je mitigatiemaatregelen zijn.

Investeer in een baseline van je normale netwerkverkeer, zodat afwijkingen sneller opvallen. Gebruik geautomatiseerde monitoring die alerts genereert bij plotselinge verkeerspieken. Stel een communicatieplan op voor het informeren van klanten en stakeholders tijdens een aanval, en oefen dit scenario regelmatig. De combinatie van technische detectie en organisatorische voorbereiding bepaalt hoe snel je een DDoS-aanval identificeert en hoe effectief je respons is.

Hoe bescherm je je tegen een DDoS-aanval?

Effectieve bescherming tegen DDoS-aanvallen vereist een combinatie van technische maatregelen en organisatorische voorbereiding. Op technisch vlak is een DDoS-mitigatiedienst de belangrijkste maatregel. Deze diensten filteren kwaadaardig verkeer voordat het je infrastructuur bereikt. Cloudgebaseerde oplossingen schalen automatisch op bij een aanval en kunnen verkeer van meerdere terabits per seconde absorberen.

Netwerksegmentatie verkleint de impact van een aanval door je infrastructuur op te delen in afzonderlijke zones. Als een segment wordt aangevallen, blijven andere delen operationeel. Rate limiting beperkt het aantal verzoeken dat een server accepteert per tijdseenheid, waardoor volumetrische aanvallen minder effectief worden. Een web application firewall filtert verdacht verkeer op de applicatielaag en beschermt tegen meer geavanceerde aanvallen die legitiem verkeer nabootsen.

Organisatorisch is het cruciaal om een incident response plan te hebben dat specifiek DDoS-scenario’s adresseert. Dit plan beschrijft wie verantwoordelijk is, welke communicatielijnen er zijn en welke technische stappen je onderneemt bij een aanval. Regelmatige oefeningen zorgen ervoor dat je team voorbereid is. Overweeg ook het gebruik van een content delivery network dat je verkeer spreidt over meerdere servers wereldwijd, en onderhoud contact met je internetprovider voor upstream filtering bij grootschalige aanvallen. Redundantie in je infrastructuur, inclusief meerdere DNS-providers en load balancers, verhoogt je weerbaarheid aanzienlijk.

De financiele impact van een DDoS-aanval is niet te onderschatten. Naast directe omzetderving door onbereikbaarheid van je diensten, zijn er kosten voor mitigatie, forensisch onderzoek en herstel. Voor e-commerce bedrijven kan een uur downtime al tienduizenden euro’s kosten. Reputatieschade is moeilijker te kwantificeren maar kan langdurig effect hebben op het vertrouwen van klanten en partners. Een proactieve aanpak van DDoS-bescherming is daarom altijd goedkoper dan reactief handelen na een succesvolle aanval.

Veelgestelde vragen over DDoS-aanvallen

Wat is het verschil tussen een DoS-aanval en een DDoS-aanval?

Een DoS-aanval komt van een enkele bron, terwijl een DDoS-aanval gebruikmaakt van duizenden tot miljoenen gehackte apparaten tegelijk. Door het gedistribueerde karakter is een DDoS-aanval veel krachtiger en moeilijker te blokkeren dan een gewone DoS-aanval.

Is een DDoS-aanval strafbaar in Nederland?

Ja, een DDoS-aanval is strafbaar onder artikel 138b van het Wetboek van Strafrecht. Het opzettelijk en wederrechtelijk verstoren van een geautomatiseerd werk kan leiden tot een gevangenisstraf van maximaal drie jaar of een geldboete van de vierde categorie.

Hoe lang duurt een DDoS-aanval gemiddeld?

De duur varieert sterk. Sommige aanvallen duren slechts minuten, terwijl de langste aanval in 2025 meer dan acht dagen aanhield. De meeste aanvallen duren enkele uren. Zonder adequate bescherming kan zelfs een korte aanval al grote operationele schade veroorzaken.

Kan een klein bedrijf ook doelwit worden van een DDoS-aanval?

Absoluut. DDoS-aanvallen treffen organisaties van elke omvang. Aanvallers bieden DDoS-as-a-Service aan voor enkele tientallen euro’s, waardoor ook kleinere organisaties doelwit worden. Juist kleinere bedrijven missen vaak de middelen om zich adequaat te beschermen.

Wat kost DDoS-bescherming?

De kosten lopen uiteen van enkele honderden euro’s per maand voor basisoplossingen tot duizenden euro’s voor enterprise-grade bescherming. Factoren die de prijs bepalen zijn het te beschermen bandbreedteniveau, het aantal domeinen en de gewenste responstijd bij een aanval.

Bescherm je organisatie tegen DDoS-aanvallen. Vergelijk DDoS-bescherming aanbieders op IBgidsNL.