In het vierde kwartaal van 2024 blokkeerde Cloudflare een DDoS-aanval van 5,6 terabit per seconde – de grootste ooit gemeten. Ter vergelijking: een gemiddelde enterprise internetverbinding heeft een capaciteit van 500 megabit tot 1 gigabit per seconde. Zo'n aanval rijdt alles plat wat niet specifiek voor dit soort volumetrische aanvallen is gebouwd.
Het NBIP, de Nederlandse organisatie achter de nationale DDoS-wasstraat NaWas, mitigeerde in 2024 bijna 2.000 DDoS-aanvallen voor zijn deelnemers. In het derde kwartaal alleen al waren dat 688 aanvallen, een stijging van 60 procent ten opzichte van het kwartaal ervoor. De aanvallen worden niet alleen groter, ze worden ook complexer.
Maar wat is een DDoS-aanval precies, hoe werkt bescherming ertegen, en wat heb je nodig?
Wat is een DDoS-aanval?
DDoS staat voor Distributed Denial of Service. Een aanvaller stuurt met tientallen, honderden of miljoenen gecompromitteerde systemen (een botnet) tegelijk verkeer naar één doel. Het doel raakt overbelast en kan geen legitieme verzoeken meer verwerken. De dienst valt uit.
Het verschil met een gewone DoS-aanval (Denial of Service) is de schaal. Een DoS-aanval komt van één systeem. Een DDoS-aanval komt van een gedistribueerd netwerk van systemen – vandaar de D. Die spreiding maakt het moeilijker om te blokkeren: je kunt geen enkel IP-adres blokkeren en klaar zijn.
Er zijn drie hoofdtypen aanvallen:
Volumetrische aanvallen
Het doel is eenvoudig: de bandbreedte vollopen. De aanvaller stuurt meer verkeer dan jouw internetverbinding aankan. UDP flood, ICMP flood, DNS amplification – bij amplificatie-aanvallen wordt een klein verzoek omgezet in een groot antwoord dat naar het doelwit wordt gestuurd. Een DNS-amplificatie kan een factor 50 tot 70 versterking geven. Je stuurt 1 Mbps, het doelwit krijgt 50 tot 70 Mbps.
Protocol-aanvallen
Deze aanvallen richten zich op kwetsbaarheden in netwerkprotocollen. SYN flood is het bekendste voorbeeld: een aanvaller stuurt een grote hoeveelheid TCP-verbindingsverzoeken (SYN-paketten) zonder ooit de verbinding te voltooien. De server reserveert geheugen voor elke half-open verbinding totdat het systeem verzadigd raakt.
Applicatielaag-aanvallen (Layer 7)
Deze aanvallen zijn gericht op de applicatie zelf. HTTP-floods die legitiem verkeer imiteren, Slowloris-aanvallen die verbindingen opengehouden om serverresources uit te putten. Ze zijn vaak kleiner in volume maar moeilijker te detecteren omdat ze lijken op gewoon gebruikersverkeer.
DDoS aanvalstypen: hoe werken ze?
Bron: NBIP NaWas Jaarrapport 2024 · Cloudflare DDoS Threat Report Q4 2024
Hoe werkt DDoS-bescherming?
DDoS-bescherming werkt op basis van filtering en absorptie. Het doel is aanvalsverkeer detecteren, scheiden van legitiem verkeer en blokkeren voordat het je infrastructuur bereikt.
Scrubbing centers
De meeste professionele DDoS-bescherming werkt via scrubbing centers. Je verkeer wordt omgeleid naar een netwerk van knooppunten met enorme bandbreedte en analysekapaciteit. Dat netwerk filtert het aanvalsverkeer eruit en stuurt alleen schoon verkeer door naar jouw server.
De Nederlandse NaWas (National Washing Service) van het NBIP werkt op dit principe. Deelnemende ISP's en netwerken kunnen verkeer naar NaWas omleiden zodra een aanval begint. De wasstraat filtert het verkeer en stuurt het schoon terug. Dit is een coöperatief model voor de Nederlandse internetmarkt.
Cloudflare, Akamai, AWS Shield Advanced en vergelijkbare diensten bieden hetzelfde principe commercieel aan, via hun wereldwijde netwerken van datacenters (Points of Presence). Die netwerken hebben bij elkaar honderden terabit per seconde aan absorptiecapaciteit – genoeg om zelfs de grootste bekende aanvallen op te vangen.
BGP-omleiding
Bij grote volumetrische aanvallen wordt BGP-omleiding (Border Gateway Protocol) ingezet. Je IP-adressen worden op routeringsniveau omgeleid via het scrubbingnetwerk. Dit kan binnen enkele minuten worden geactiveerd, maar vereist coördinatie met je internetprovider of een managed mitigatieprovider.
Rate limiting en traffic shaping
Op applicatieniveau kan rate limiting helpen bij Layer 7-aanvallen. Beperk het aantal verzoeken per IP-adres per tijdseenheid. Dit pakt geautomatiseerde aanvallen aan die van veel IP-adressen komen maar per adres relatief weinig verzoeken sturen.
Een Web Application Firewall (WAF) met DDoS-regels gaat een stap verder. Die analyseert het verkeerspatroon, vergelijkt het met bekende aanvalshandtekeningen en kan verdachte verzoeken blokkeren of uitdagen (via CAPTCHA of JavaScript-challenge).
Wat heb je nodig?
De juiste bescherming hangt af van je risicoprofiel en de aard van je diensten.
Kleine websites en applicaties
Als je een zakelijke website of kleine applicatie draait zonder kritieke beschikbaarheidseisen, volstaat een CDN met basale DDoS-bescherming (Cloudflare Free/Pro, BunnyCDN) gecombineerd met rate limiting op je webserver. Dit pakt de meeste automatische aanvallen af die op willekeurige targets worden afgevuurd.
Kritieke applicaties en e-commerce
Als beschikbaarheid direct omzet of dienstverlening raakt, wil je more serious mitigatie. Cloudflare Business of Enterprise, Akamai, Imperva of vergelijkbare diensten. Die bieden specifieke regels voor applicatielaagaanvallen, betere bescherming tegen geavanceerde botnets en hogere SLA's op mitigatietijd.
Kritieke infrastructuur en datacenter
Voor netwerken met eigen IP-ranges is een managed DDoS-mitigatiedienst op netwerkniveau noodzakelijk. Dit combineert BGP-omleiding, scrubbing center-capaciteit en 24/7 monitoring. In Nederland is aansluiting op NaWas via je provider een effectieve optie.
DDoS bescherming kiezen: per risicoprofiel
Bron: NCSC Factsheet DDoS-bescherming · Digital Trust Center · NBIP
Voorbereiding: voor de aanval begint
DDoS-bescherming is niet iets wat je inschakelt als de aanval al begonnen is. Op dat moment is het te laat voor configuratiewijzigingen en contracten. Voorbereiding is de sleutel.
Zorg dat je een DDoS-responseplan hebt. Wie wordt gebeld als de site niet bereikbaar is? Wie heeft toegang tot de mitigatiedienst? Wat zijn de escalatieprocedures? Dit hoeft geen uitgebreid document te zijn, maar de antwoorden moeten vastgelegd zijn voordat ze nodig zijn.
Test je mitigatie. Veel professionele DDoS-beschermingsdiensten bieden simulaties of zijn bereid een controleerde test uit te voeren. Zo weet je of de omleiding werkt en hoe snel die geactiveerd kan worden.
Monitor je baseline. Als je niet weet hoe normaal verkeer eruit ziet, herken je een aanval pas laat. Stel een baseline op van je normale verkeerspatronen en configureer alerts bij significante afwijkingen.
De bottom line
DDoS-aanvallen zijn niet meer het domein van hacktivisten en nationaal-statelijke actoren. Ze zijn een commodity: botnets zijn te huur voor een paar euro per uur en worden ingezet door concurrenten, georganiseerde misdaad en scriptkiddies. De drempel om een aanval uit te voeren is laag. De drempel om beschermd te zijn hoeft dat niet te zijn.
De basisprincipes zijn consistent: filter aanvalsverkeer zo dicht mogelijk bij de bron, zorg voor voldoende absorptiecapaciteit en heb een duidelijk responseplan. Voor de meeste organisaties is een CDN met DDoS-bescherming de eerste stap. Voor organisaties met kritieke beschikbaarheidseisen is een managed mitigatiedienst met scrubbing center de juiste keuze.
En voor Nederlandse netwerken: check of je internetprovider is aangesloten op NaWas. Dat is een kosteneffectieve manier om volumetrische aanvallen op netwerkniveau op te vangen.
Wil je weten hoe wij DDoS-bescherming integreren? Bekijk onze compliance-aanpak of high-traffic oplossingen.