Het komt vaak voor dat een website plotseling niet meer laadt, een inlogpagina time-out geeft of een online dienst onbereikbaar wordt op het moment dat het het minst uitkomt. Soms ligt de oorzaak niet bij een interne storing, maar bij een Distributed Denial-of-Service (DDoS) aanval die de dienst van buitenaf overweldigt. DDoS-aanvallen zijn al lange tijd een van de eenvoudigste methoden om een online dienst te verstoren door deze te overspoelen met verkeer, waardoor de infrastructuur uitgeput raakt en de dienst onbereikbaar wordt zonder dat er ingebroken hoeft te worden in de systemen van het doelwit.

Tegenwoordig worden DDoS-aanvallen steeds vaker aangeboden als een volwassen online dienst, compleet met branding en gebruiksvriendelijke interfaces. De impact van deze aanvallen is in de praktijk goed gedocumenteerd. Zo meldde Cloudflare in 2025 het blokkeren van een aanval van 7,3 Tbps en later een aanval van 31,4 Tbps. Ook Microsoft gaf aan dat Azure in oktober 2025 een aanval van 15,72 Tbps wist te mitigeren, toegeschreven aan het Aisuru-botnet.

Achter deze incidenten concurreren ondergrondse verkopers met steeds professionelere aanbiedingen. Onderzoek van Flare laat zien dat er tegenwoordig panels zijn voor het beheren van aanvallen, API-toegang, maandelijkse abonnementen, reselleropties, klantenservice, botnet-ondersteunde capaciteit, methoden gericht op game-servers en zelfs claims om Cloudflare te omzeilen. Een vergelijking van data over DDoS-gerelateerde ondergrondse activiteiten uit de eerste vijf maanden van 2023 en 2026 toont aan hoe snel het aanbod is veranderd. Waar in 2023 vooral scripts, tutorials en verspreide forumposts voorkwamen, wordt DDoS-as-a-service nu vaker als een herhaalbaar product aangeboden dat eenvoudig te kopen en te gebruiken is.

Een DDoS-aanval probeert een website, applicatie, netwerk of server te overweldigen met verkeer vanuit veel verschillende bronnen tegelijk. Sommige aanvallen richten zich op netwerkcapaciteit, andere op applicatielaagbronnen zoals inlogpagina’s en API’s. Het doel is meestal om de dienst onbeschikbaar, onstabiel of duur in gebruik te maken. DDoS-as-a-service verlaagt de drempel nog verder: een aanvaller hoeft geen eigen infrastructuur op te zetten, maar kan via een webpanel een doelwit kiezen, de duur instellen en gebruikmaken van een botnet, proxy-netwerk of derde partij infrastructuur.

Flare-onderzoekers analyseerden DDoS-gerelateerde ondergrondse activiteiten in twee periodes: de eerste vijf maanden van 2023 en dezelfde periode in 2026. Het aantal advertenties voor DDoS-diensten nam toe van 38 naar 364, een bijna tienvoudige stijging. Ook het aantal unieke advertentieclusters en betrokken actoren groeide aanzienlijk. Dit onderzoek richtte zich specifiek op Distributed DoS-aanbiedingen en sloot reguliere DoS-aanbiedingen zoveel mogelijk uit.

DDoS-as-a-service platforms worden openlijk geadverteerd op darkwebforums en cybercrimegemeenschappen, die continu worden gemonitord door Flare. Door deze bronnen te volgen, kunnen beveiligingsteams op de hoogte blijven van opkomende dreigingen voordat ze impact hebben op hun organisatie. Meer informatie over blootstelling aan DDoS-aanvallen is beschikbaar via deze bron.