Distributed Denial of Service (DDoS)

DDoS, DDoS-aanval, Distributed DoS, Gedistribueerde Denial of Service, Gedistribueerde DoS-aanval, Verdeelde Denial of Service aanval, DoS-aanval gedistribueerd
Een DDoS-aanval is een cyberaanval waarbij een website of online dienst wordt overspoeld met enorme hoeveelheden internetverkeer, waardoor deze onbereikbaar wordt voor legitieme gebruikers.
Security & Monitoring

Wat is Distributed Denial of Service (DDoS)?

Een Distributed Denial of Service (DDoS) aanval is een kwaadaardige poging om de normale werking van een website, webshop, server of netwerk te verstoren door deze te overspoelen met een enorme hoeveelheid internetverkeer. In tegenstelling tot een reguliere Denial of Service (DoS) aanval, waarbij het verkeer afkomstig is van één bron, gebruikt een DDoS-aanval meerdere gecompromitteerde computersystemen als bronnen van het aanvalsverkeer.

Deze aanvallen worden vaak uitgevoerd via een botnet - een netwerk van geïnfecteerde computers, IoT-apparaten en servers die door aanvallers worden gecontroleerd. De eigenaren van deze apparaten zijn zich meestal niet bewust dat hun systemen worden misbruikt voor kwaadaardige doeleinden.

Hoe werkt een DDoS-aanval?

Het principe achter een DDoS-aanval is relatief eenvoudig: door een doelwit te bombarderen met meer verzoeken dan het kan verwerken, raken de beschikbare resources uitgeput. Dit kan leiden tot:

  • Extreme vertraging in de laadtijd van websites
  • Time-outs bij het opvragen van pagina's
  • Complete onbereikbaarheid van de dienst
  • Overbelasting van servers en netwerkinfrastructuur

Typen DDoS-aanvallen

Er bestaan verschillende soorten DDoS-aanvallen, elk met een specifieke aanvalsmethode:

Volumetrische aanvallen: Deze overspoelen de bandbreedte van het doelwit met enorme hoeveelheden data. Voorbeelden zijn UDP floods en ICMP floods.

Protocol aanvallen: Deze richten zich op zwakke punten in netwerkprotocollen en proberen serverresources of firewalls uit te putten. SYN floods zijn hiervan een bekend voorbeeld.

Application layer aanvallen: Deze sophisticatere aanvallen richten zich op de applicatielaag (Layer 7) en proberen webservers uit te putten door ogenschijnlijk legitieme verzoeken te sturen. HTTP floods vallen in deze categorie.

Motivaties achter DDoS-aanvallen

Aanvallers kunnen verschillende redenen hebben om een DDoS-aanval uit te voeren:

  • Afpersing: Losgeld eisen om de aanval te stoppen
  • Concurrentie: Schade toebrengen aan zakelijke rivalen
  • Activisme: Politieke of ideologische statements maken
  • Afleiding: Aandacht afleiden terwijl andere cyberaanvallen plaatsvinden
  • Wraak: Vergelding voor vermeende onrechtvaardigheden

Toepassingen en bescherming

Detectie van DDoS-aanvallen

Het tijdig herkennen van een DDoS-aanval is cruciaal voor effectieve respons. Belangrijke indicatoren zijn:

  • Plotselinge toename in verkeer van ongebruikelijke bronnen
  • Abnormale patronen in netwerkverkeer en serverbelasting
  • Massale verzoeken vanaf IP-adressen uit dezelfde regio
  • Onverklaarbare prestatieproblemen ondanks normale gebruikersaantallen
  • Verhoogde foutmeldingen zoals 503 Service Unavailable

Beschermingsmaatregelen

Organisaties kunnen verschillende strategieën implementeren om zich te beschermen tegen DDoS-aanvallen:

DDoS-mitigatiediensten: Gespecialiseerde diensten zoals Cloudflare, Akamai of AWS Shield die verkeer filteren en verdachte verzoeken blokkeren voordat ze de server bereiken.

Content Delivery Networks (CDN): Door content te distribueren over meerdere servers wereldwijd, wordt de impact van een aanval verminderd en kan legitiem verkeer beter worden afgehandeld.

Rate limiting: Beperken van het aantal verzoeken dat een gebruiker binnen een bepaalde tijdsperiode kan doen, waardoor flood-aanvallen worden bemoeilijkt.

Firewall configuratie: Geavanceerde firewalls kunnen verdacht verkeer identificeren en blokkeren op basis van patronen en gedrag.

Redundantie en schaalbaarheid: Meerdere servers en automatische schaling zorgen ervoor dat er extra capaciteit beschikbaar is tijdens een aanval.

Incident response plan

Een goed voorbereid incident response plan is essentieel:

  • Contactgegevens: Houd actuele contactinformatie bij van hosting providers, security teams en DDoS-mitigatiediensten
  • Communicatieprotocol: Stel vast hoe klanten en stakeholders worden geïnformeerd tijdens een aanval
  • Escalatieprocedure: Definieer wanneer en hoe externe hulp wordt ingeschakeld
  • Documentatie: Leg alle stappen vast voor analyse en verbetering

Juridische aspecten

DDoS-aanvallen zijn in Nederland en de meeste landen illegaal. Het uitvoeren van een DDoS-aanval kan leiden tot strafrechtelijke vervolging onder computercriminaliteitswetgeving. Ook het aanbieden van DDoS-diensten of het verhuren van botnets is strafbaar.

Kosten en impact

De gevolgen van een succesvolle DDoS-aanval kunnen aanzienlijk zijn:

  • Omzetverlies: Vooral voor e-commerce bedrijven kan downtime direct leiden tot gemiste verkopen
  • Reputatieschade: Klanten verliezen vertrouwen in de beschikbaarheid en betrouwbaarheid
  • Mitigatiekosten: Investering in beschermingsdiensten en infrastructuur
  • Operationele verstoring: IT-teams moeten zich focussen op herstel in plaats van normale werkzaamheden

Veelgestelde vragen

Het belangrijkste verschil zit in het aantal aanvalsbronnen. Bij een DoS (Denial of Service) aanval komt het aanvalsverkeer van één enkele bron - bijvoorbeeld één computer of server. Dit maakt het relatief eenvoudig om te blokkeren door het IP-adres van de aanvaller te identificeren en te weigeren.

Bij een DDoS (Distributed Denial of Service) aanval komt het verkeer van honderden, duizenden of zelfs miljoenen verschillende bronnen tegelijk. Deze gedistribueerde aanpak maakt het veel moeilijker om te verdedigen, omdat je niet simpelweg één IP-adres kunt blokkeren. DDoS-aanvallen zijn daarom veel krachtiger en effectiever dan reguliere DoS-aanvallen.

De duur van DDoS-aanvallen varieert enorm. Korte aanvallen kunnen slechts enkele minuten tot een uur duren en worden vaak gebruikt om systemen te testen of als afleiding. Gemiddelde aanvallen duren tussen de paar uur en enkele dagen.

Sommige aanvallen kunnen echter weken of zelfs maanden aanhouden, vooral wanneer het gaat om gerichte campagnes of afpersing. Moderne aanvallen worden ook steeds vaker uitgevoerd in meerdere korte 'bursts' in plaats van één langdurige aanval, wat detectie en mitigatie bemoeilijkt.

Volgens recente statistieken duurt de gemiddelde DDoS-aanval ongeveer 4 tot 8 uur, maar de trend laat zien dat aanvallen korter maar frequenter worden.

Ja, elke website die online staat kan het doelwit worden van een DDoS-aanval, ongeacht waar deze wordt gehost. De vraag is echter hoe goed je bent beschermd. De meeste standaard hostingpakketten bieden beperkte bescherming tegen kleinere aanvallen, maar kunnen overspoeld worden door grotere, professionele DDoS-aanvallen.

Premium hosting en gespecialiseerde providers bieden vaak betere bescherming, maar zelfs dan is het verstandig om extra beveiligingslagen toe te voegen zoals een CDN met DDoS-bescherming of een dedicated DDoS-mitigatiedienst.

Het is belangrijk om met je hostingprovider te bespreken welke DDoS-bescherming is inbegrepen in je pakket en wat de procedures zijn bij een aanval. Voor bedrijfskritische websites en webshops is investering in professionele DDoS-bescherming een essentiële risicomitigatiestrategie.

Auteur & updates

Auteur: Wouter
Publicatiedatum: 16-02-2026
Laatste update: 16-02-2026