DDoS-bescherming

Wat is DDoS-bescherming en waarom is het onmisbaar voor Nederlandse bedrijven?

Een DDoS-aanval (Distributed Denial of Service) overspoelt je systemen met verkeer vanuit duizenden tot miljoenen apparaten tegelijk. Het doel is simpel: jouw website, webshop of applicatie onbereikbaar maken voor klanten en medewerkers. Terwijl vroeger alleen grote organisaties doelwit waren, zijn DDoS-aanvallen inmiddels volledig geautomatiseerd via zogenaamde DDoS-as-a-Service platforms die voor minder dan EUR 50 beschikbaar zijn. Elk bedrijf met een online aanwezigheid is een potentieel doelwit.

De cijfers zijn alarmerend. DDoS-aanvallen in Nederland zijn in twee jaar tijd verdrievoudigd. In 2025 groeiden aanvallen met maar liefst 75% bovenop de al enorme 137% stijging in 2024. Nederland staat inmiddels in de top-10 van meest getroffen landen wereldwijd, samen met de VS, China en het VK. De vraag is allang niet meer óf je wordt aangevallen, maar wanneer.

Drie typen DDoS-aanvallen die jouw bedrijf bedreigen

Niet alle DDoS-aanvallen werken hetzelfde. Het begrijpen van de drie hoofdtypen is cruciaal voor het kiezen van de juiste bescherming.

Volumetrische aanvallen opereren op netwerkniveau (L3/L4) en overspoelen je bandbreedte met enorme hoeveelheden data. Bekende voorbeelden zijn UDP floods en DNS amplification-aanvallen. Ze zijn relatief makkelijk te detecteren maar kunnen met de huidige botnetcapaciteit verwoestend groot zijn — de grootste aanval ooit bereikte 31,4 Tbps in Q4 2025.

Protocolaanvallen misbruiken ook het netwerkniveau maar richten zich op zwakheden in netwerkprotocollen zelf. SYN floods en Smurf attacks vallen in deze categorie. Ze verbruiken servercapaciteit in plaats van bandbreedte, waardoor zelfs kleinere aanvallen systemen kunnen platleggen.

Applicatielaag-aanvallen (L7) zijn het gevaarlijkste en snelst groeiende type. HTTP floods en Slowloris-aanvallen lijken op normaal websiteverkeer. Ze vereisen minder bandbreedte maar veroorzaken disproportioneel veel schade — en passeren standaard volumetrische filters ongehinderd. Dit is ook de reden dat bedrijven die alleen vertrouwen op hun ISP of een traditionele firewall structureel kwetsbaar blijven.

Een bijzondere bedreiging is het zogenaamde collateral damage bij carpet-bombing aanvallen: aanvalsverkeer wordt verspreid over brede IP-reeksen. Als jouw server in hetzelfde netwerk zit als het eigenlijke doelwit, ga je mee onderuit — ook al ben jij niet het primaire doelwit. Carpet-bombing aanvallen stegen in 2025 met maar liefst 231%.

De financiële impact van een DDoS-aanval op MKB

Als MKB-ondernemer denk je misschien dat DDoS-aanvallen alleen grote bedrijven treffen. De realiteit is anders: 23% van de Nederlandse middelgrote bedrijven is al slachtoffer geweest (Bron: CBS Cybersecuritymonitor 2024). De financiële schade is aanzienlijk:

• EUR 5.700 per minuut downtime door een DDoS-aanval
• EUR 95.000 gemiddelde schade voor een klein bedrijf per aanval
• EUR 40.000 gemiddelde schade voor MKB per aanval
• 60% van kleine bedrijven gaat failliet binnen 6 maanden na een ernstige cyberaanval

Ter illustratie: een MKB-webshop met EUR 2 miljoen omzet die 5 uur platligt door een DDoS-aanval, loopt EUR 11.000 tot EUR 96.000 schade op. Professionele DDoS-bescherming kost EUR 2.400 tot EUR 3.000 per jaar. Dat is een ROI van 4 tot 40x bij een enkele aanval. Een Forrester-studie berekende zelfs 223% ROI op DDoS-bescherming, met een terugverdientijd van minder dan 1 jaar.

Bovendien: na een eerste DDoS-aanval is de kans op vervolgaanvallen meer dan 70% (Bron: ENISA Threat Landscape 2024). Gemiddeld volgen er 2,8 extra aanvallen, 80% meer dan een jaar eerder. Wie pas na de eerste klap bescherming regelt, is structureel te laat.

Hoe werkt DDoS-bescherming in de praktijk?

DDoS-bescherming werkt door aanvalsverkeer te scheiden van legitiem verkeer voordat het jouw systemen bereikt. Er zijn verschillende architectuurmodellen, elk met eigen voor- en nadelen.

Always-on bescherming stuurt al jouw internetverkeer continu door een scrubbing-service. Aanvalsverkeer wordt gefilterd voordat het jouw servers bereikt. De activatietijd is nul seconden — bescherming is er altijd, ook bij de eerste milliseconden van een aanval. Dit model is geschikt voor bedrijfskritische websites en webshops.

On-demand bescherming activeert pas bij detectie van een aanval via BGP redirect. De activatietijd varieert van 30 seconden tot enkele minuten. Dit is een kosteneffectievere optie voor bedrijven met lagere risicoprofielen die bereid zijn een korte kwetsbaarheidsmarge te accepteren.

Hybride bescherming combineert beide: altijd-actieve basisbeveiliging met automatische opschaling naar on-demand capaciteit bij grote aanvallen. Activatietijd voor de basisbeveiliging is nul seconden, voor opschaling 30+ seconden. Dit model is geschikt voor bedrijven met wisselend risicoprofiel.

Het onderliggende clean pipe model stuurt al jouw internetverkeer via een extern scrubbing center. Aanvalsverkeer wordt gefilterd en alleen schoon verkeer wordt doorgestuurd naar jouw servers — vergelijkbaar met een autowasstraat: vuil verkeer gaat erin, schoon verkeer komt eruit. Een clean pipe service kost doorgaans 20 tot 100% van je connectiviteitskosten, afhankelijk van de SLA en kwaliteit.

CDN-based bescherming laat een Content Delivery Network fungeren als reverse proxy. Alle HTTP/HTTPS-verkeer loopt via het CDN-netwerk, dat aanvallen absorbeert met zijn wereldwijde capaciteit. Dit model combineert DDoS-bescherming met snellere laadtijden, maar werkt alleen voor HTTP/HTTPS-verkeer — andere protocollen zoals mail, VPN en custom applicaties vereisen aanvullende bescherming.

Gelaagde DDoS-bescherming: de drie verdedigingslagen

Professionele DDoS-bescherming werkt op meerdere lagen tegelijk. Alleen bescherming op netwerkniveau (L3/L4) inzetten en L7 vergeten is een van de meest gemaakte fouten — applicatielaag-aanvallen lijken op normaal verkeer en passeren volumetrische filters ongehinderd.

• Netwerklaag (L3/L4): Rate limiting, scrubbing en BGP blackholing beschermen tegen volumetrische en protocolaanvallen
• Applicatielaag (L7): Een Web Application Firewall, gedragsanalyse en challenge pages filteren HTTP floods, slowloris en API abuse
• DNS-laag: Anycast DNS en DNS firewalling beschermen tegen DNS amplification en NXDOMAIN floods

Nederland heeft bovendien een uniek collectief beschermingsmodel: de Nationale anti-DDoS Wasstraat (NaWas), beheerd door de non-profit NBIP. Bijna 200 deelnemers in 10 Europese landen zijn aangesloten. NaWas beschermt 2,5 miljoen .nl-domeinen — 43% van alle Nederlandse domeinen. Het model werkt via BGP-sessies: bij een aanval wordt het aangevallen IP-prefix omgeleid naar NaWas-hardware, waar meerdere scrubbing-apparaten het verkeer in serie filteren. Activatietijd: circa 30 seconden. MKB-bedrijven profiteren indirect als hun hostingprovider is aangesloten bij NaWas.

Wat kost DDoS-bescherming voor Nederlandse MKB?

DDoS-bescherming varieert van gratis basisoplossingen tot uitgebreide enterprise-diensten. Voor MKB liggen de kosten doorgaans tussen EUR 0 en EUR 250 per maand, afhankelijk van het beschermingsniveau:

• Startend MKB: Gratis CDN-tier met basis L3/L4 bescherming — EUR 0/maand
• Klein MKB: CDN met uitgebreide L3/L4 + basis WAF — EUR 20 tot EUR 25/maand
• MKB: CDN + WAF + geavanceerde DDoS-bescherming — EUR 200 tot EUR 250/maand
• MKB cloud: Cloud-native DDoS IP Protection — EUR 199/maand per publiek IP
• Via hostingprovider: DDoS-bescherming inbegrepen bij hosting — vanaf circa EUR 5/maand

De NaWas werkt met een flat-fee per /24 prefix en is als non-profit significant goedkoper dan commerciële alternatieven. MKB-bedrijven profiteren hier indirect van als hun hostingprovider is aangesloten. Het loont om je hoster te vragen of zij NaWas-bescherming bieden.

Bij de keuze tussen always-on en on-demand geldt: always-on heeft hogere vaste maandelijkse kosten maar biedt directe mitigatie zonder activatietijd. On-demand is goedkoper bij laag risico maar heeft een activatietijd van minuten tot uren — acceptabel voor sommige bedrijven, niet voor webshops of kritieke dienstverlening.

Selectiecriteria: waar moet je op letten bij DDoS-bescherming?

Niet elke DDoS-bescherming is gelijk. Dit zijn de criteria die er toe doen:

Netwerkcapaciteit: Hoe groter de mitigatiecapaciteit, hoe meer aanvalsverkeer geabsorbeerd kan worden. Voor MKB is meer dan 1 Tbps mitigatiecapaciteit het minimum. Kleinere capaciteit is kwetsbaar bij de grootschalige aanvallen die steeds vaker voorkomen.

L7-bescherming: Applicatielaag-aanvallen zijn het snelst groeiende type. Zorg dat de oplossing een WAF met gedragsanalyse inbegrepen heeft — niet als optionele add-on.

24/7 SOC: Aanvallen komen op elk moment. Handmatige respons is te traag. Kies een aanbieder met geautomatiseerde detectie plus menselijke escalatie via een Security Operations Center dat rond de klok bemand is.

AI-detectie: Machine learning onderscheidt aanvalsverkeer van pieken in legitiem verkeer — essentieel bij carpet-bombing aanvallen die onder traditionele detectiedrempels blijven.

Kostenprotectie: Sommige aanbieders rekenen extra kosten bij een grote aanval. Kies voor een oplossing zonder meerkostenclauses bij aanvallen — anders wordt bescherming bij de grootste aanvallen het duurst.

SLA: Vraag naar gegarandeerde uptime en mitigatietijden. Minimum voor MKB: 99,9% uptime, mitigatie binnen 10 seconden voor always-on diensten.

Vermijd aanbieders die alleen L3/L4-bescherming bieden zonder L7, geen SLA-garantie geven op mitigatietijd, extra kosten in rekening brengen tijdens een aanval, of geen transparantie bieden over hun netwerkcapaciteit.

Veelgemaakte fouten bij DDoS-bescherming

"Wij zijn geen doelwit" is de meest voorkomende en gevaarlijkste fout. Aanvallen zijn geautomatiseerd via DDoS-as-a-Service platforms die voor minder dan EUR 50 beschikbaar zijn. 23% van de Nederlandse middelgrote bedrijven is al getroffen (Bron: CBS Cybersecuritymonitor 2024). Bovendien loopt jouw server risico als collateral damage bij carpet-bombing aanvallen, ook als jij niet het primaire doelwit bent.

Alleen vertrouwen op je ISP is onvoldoende. Standaard ISP-connectiviteit biedt zelden meer dan basis volumetrische filtering. L7-aanvallen — het snelst groeiende type — passeren deze filters ongehinderd.

Geen incident response plan is een structureel probleem. Wie belt wie bij een aanval? Wanneer schakel je op? Hoe communiceer je naar klanten? Tijdens een actieve aanval is het te laat om dit uit te zoeken. Leg procedures vast en oefen het plan minimaal jaarlijks. Een goede aanvulling hierop is incident response voorbereiding die DDoS-scenario's meeneemt.

Geen schaalbaarheid ingebouwd: DDoS-aanvallen groeien in omvang. De grootste aanval ooit (31,4 Tbps) was in Q4 2025. Als jouw bescherming niet mee kan schalen, ben je bij de volgende grote aanval alsnog onbeschermd.

Bescherming niet up-to-date houden: Aanvalstechnieken veranderen continu. Carpet-bombing steeg 231% in 2025. AI-gedreven botnets passen hun strategie real-time aan. Evalueer je bescherming minimaal halfjaarlijks.

Pas actie ondernemen na de eerste aanval is te laat. Na een eerste DDoS-aanval is de kans op vervolgaanvallen meer dan 70%. Wie reactief bescherming regelt, krijgt hogere kosten door spoed-implementatie, langere activatietijden door BGP-configuratie die dagen duurt, en een onbeschermd venster tot de volgende klap.

NIS2 negeren kan tot forse boetes leiden. De Cyberbeveiligingswet verplicht passende maatregelen voor continuïteit van diensten (Bron: NCSC / Digitale Overheid). Geen DDoS-bescherming terwijl je onder NIS2 valt, kan leiden tot boetes tot EUR 10 miljoen of 2% van je omzet (Bron: NCSC / Digitale Overheid).

DDoS-bescherming en NIS2-compliance

De Cyberbeveiligingswet — de Nederlandse implementatie van de Europese NIS2-richtlijn — maakt beschikbaarheidsmaatregelen verplicht (Bron: NCSC / Digitale Overheid). Het wetsvoorstel is op 4 juni 2025 ingediend bij de Tweede Kamer, met verwachte inwerkingtreding in Q2 2026.

NIS2 Artikel 21 verplicht organisaties om passende en evenredige technische, operationele en organisatorische maatregelen te nemen om de continuïteit van diensten te waarborgen (Bron: NCSC / Digitale Overheid). DDoS is een evident risico voor beschikbaarheid. Een risicoanalyse die DDoS niet adresseert, is onvolledig — en een auditor die ziet dat je geen DDoS-bescherming hebt terwijl je diensten online beschikbaar zijn, zal dat als tekortkoming aanmerken.

Bovendien geldt een meldplicht van 24 uur: significante incidenten die de beschikbaarheid van je diensten verstoren, moeten binnen 24 uur worden gemeld. Een DDoS-aanval die je systemen meer dan enkele uren platgelegt, valt hier vrijwel zeker onder.

De maximale boetes zijn aanzienlijk:

• Essentiële entiteiten: EUR 10 miljoen of 2% van de jaaromzet
• Belangrijke entiteiten: EUR 7 miljoen of 1,4% van de jaaromzet

Het gevaar is de dubbele klap: je wordt getroffen door een DDoS-aanval, hebt geen adequate bescherming en geen incident response plan. De schade bestaat dan uit directe omzetderving, reputatieschade, een NIS2-boete wegens onvoldoende maatregelen én een boete wegens te late melding — vier kostenposten in plaats van één (Bron: NCSC / Digitale Overheid).

Sectoren die als essentieel worden aangemerkt: energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur en ICT-dienstverlening. Belangrijke sectoren zijn onder andere post/koeriersdiensten, levensmiddelen, chemie en digitale aanbieders.

Voor een bredere aanpak van NIS2-compliance, waaronder risicoanalyse en beleidsontwikkeling, zie NIS2-compliance begeleiding.

DDoS-bescherming versus verwante oplossingen

DDoS-bescherming wordt vaak verward met andere beveiligingsoplossingen. Ze vullen elkaar aan, maar zijn niet uitwisselbaar.

Een traditionele firewall filtert verkeer op basis van regels (IP, poort, protocol). Hij biedt minimale DDoS-bescherming — geen capaciteit voor volumetrische aanvallen. Hij is nuttig als lokale eerste filter, maar onvoldoende als enige maatregel. Een managed firewall service kan dit aanvullen maar vervangt dedicated DDoS-bescherming niet.

Een Web Application Firewall (WAF) beschermt webapplicaties tegen exploits zoals SQL injection en XSS. Een WAF filtert deels L7 DDoS-aanvallen die op web-exploits lijken, maar is aanvullend op DDoS-bescherming — niet vervangend.

Een CDN versnelt content delivery via caching op edge-locaties en absorbeert deels volumetrisch verkeer door verspreiding. Maar CDN's zijn geen dedicated DDoS-bescherming en missen specifieke mitigatiecapaciteit voor grote aanvallen of niet-HTTP-protocollen.

De beste aanpak combineert DDoS-bescherming (L3/L4 + L7) met een WAF voor applicatiebeveiliging en een CDN voor prestatie-optimalisatie. Overweeg ook een koppeling met SOC-as-a-Service voor 24/7 monitoring en respons, en incident response services voor wanneer een aanval toch doorkomt.

Trends 2025-2026: wat staat je te wachten?

DDoS-aanvallen worden groter, slimmer en geautomatiseerder. Drie trends bepalen jouw beschermingsstrategie voor de komende periode.

Carpet-bombing stijgt met 231%: Bij carpet-bombing wordt aanvalsverkeer niet op één IP gericht, maar verspreid over brede IP-reeksen. Per IP blijft het verkeer onder detectiedrempels, maar het cumulatieve effect is verwoestend. Traditionele per-IP detectie mist deze aanvallen — je hebt netwerk-brede analyse nodig.

AI-gedreven DDoS: Botnets gebruiken AI-tools — waaronder WormGPT en FraudGPT — om aanvallen dynamisch aan te passen. Ze analyseren real-time welke mitigatiemaatregelen actief zijn en passen hun aanvalsvectoren daarop aan. Statische regelsets worden hierdoor steeds minder effectief.

IoT-botnets groeien explosief: Het Aisiru-botnet beheert naar schatting 1 tot 4 miljoen IoT-apparaten en kan aanvallen tot 22,2 Tbps genereren. Slecht beveiligde camera's, routers en smart home-apparaten worden massaal ingezet. Met het groeiende aantal IoT-apparaten neemt ook de potentiële aanvalsgrootte toe. Overweeg ook IoT/OT security als onderdeel van je bredere beveiligingsstrategie.

De prognose voor 2026: 58 miljoen DDoS-aanvallen wereldwijd — 3x meer dan 2025. Piekvolumes boven 3 Tbps worden regelmatig verwacht. Multi-vector aanvallen (L3/L4 + L7 + DNS tegelijk) worden de norm. DDoS-as-a-Service maakt aanvallen toegankelijk voor iedereen met EUR 50.

Statische bescherming volstaat niet meer. Je hebt bescherming nodig die multi-vector aanvallen detecteert en mitigeert, AI/ML gebruikt voor detectie, automatisch opschaalt bij aanvallen boven je normale capaciteit, netwerk-brede analyse biedt, en minimaal halfjaarlijks wordt geëvalueerd op actuele dreigingen.

Aan de slag: vijf stappen naar adequate DDoS-bescherming

1. Breng je risicoprofiel in kaart. Wat is de impact als je website of applicatie 1 uur onbereikbaar is? 4 uur? 24 uur? Bereken je omzetderving per uur downtime en bepaal je maximale acceptabele downtime. Dit bepaalt of je always-on of on-demand bescherming nodig hebt. Een cybersecurity risicoanalyse helpt hierbij.

2. Check je huidige bescherming. Vraag je hostingprovider of ISP welke DDoS-bescherming er nu actief is. Is je hoster aangesloten bij NaWas? Heb je al een WAF? Welke lagen zijn gedekt (L3/L4, L7, DNS)?

3. Bepaal je beschermingsmodel. Always-on voor bedrijfskritische systemen, on-demand voor lagere risicoprofielen, hybride als je wilt groeien. Gebruik de selectiecriteria uit dit artikel om aanbieders te vergelijken.

4. Maak een incident response plan. Leg vast wie wat doet bij een aanval, hoe je escaleert, hoe je communiceert naar klanten en hoe je voldoet aan je NIS2-meldplicht als dat van toepassing is (Bron: NCSC / Digitale Overheid).

5. Vergelijk en kies. Vraag offertes op bij minimaal 3 aanbieders. Let specifiek op kostenprotectie, L7-dekking en SLA-garanties. Stel bij elk gesprek de juiste vragen: wat is de totale mitigatiecapaciteit in Tbps? Bieden jullie zowel L3/L4 als L7-bescherming? Zijn er meerkosten tijdens een actieve aanval? Hebben jullie een 24/7 SOC met menselijke analisten?