Wat is een DDoS-aanval?

Wat is een DDoS-aanval?

Een DDoS-aanval is een cyberaanval waarbij een server, website of online dienst wordt overspoeld met een enorme hoeveelheid nepverkeer. Hierdoor raakt het systeem overbelast en wordt de dienst traag of volledig onbereikbaar voor echte gebruikers.

Het doel van een DDoS-aanval is meestal om een website of online dienst tijdelijk uit te schakelen door deze te overladen met verkeer. Dit verkeer komt vaak van veel verschillende apparaten tegelijk, waardoor het lastig is om de aanval te blokkeren. 

DDoS-aanvallen worden vaak uitgevoerd door hackers via botnets en vormen een belangrijk risico binnen cybersecurity, omdat ze digitale diensten kunnen verstoren of volledig platleggen. DDoS-aanvallen worden ook vaak gebruikt om websites tijdelijk offline te halen tijdens aanvallen op bedrijven of overheden.

Wat is de betekenis van ‘DDoS’-aanval

De afkorting DDoS staat voor Distributed Denial of Service.

• Denial of Service betekent dat een dienst onbruikbaar wordt gemaakt door een overload aan verkeer.
• Distributed betekent dat de aanval van veel verschillende bronnen tegelijk komt.

Dat laatste is belangrijk: in plaats van één computer worden er honderden of zelfs duizenden apparaten gebruikt, vaak onderdeel van een botnet. Daardoor is een DDoS-aanval veel moeilijker te stoppen dan een simpele DoS-aanval, waarbij maar één bron het verkeer veroorzaakt.

DoS vs. DDoS: wat is het verschil?

Het belangrijkste verschil tussen een DoS- en een DDoS-aanval is het aantal bronnen dat wordt gebruikt. Bij een DoS-aanval komt al het verkeer van één enkele computer of locatie, waardoor deze meestal eenvoudiger te herkennen en te blokkeren is.

Bij een DDoS-aanval komt het verkeer gelijktijdig van veel verschillende computers of apparaten, vaak verspreid over meerdere locaties. Daardoor is een DDoS-aanval krachtiger, moeilijker te traceren en lastiger te stoppen.

Hoe werkt een DDoS-aanval?

DDoS-aanvallen maken gebruik van meerdere computers of apparaten om een doelwit te overspoelen met verkeer. Een aanvaller zet hiervoor vaak een netwerk op van geïnfecteerde apparaten, ook wel een botnet genoemd. Deze bots sturen vervolgens tegelijk verkeer naar één specifiek IP-adres, waardoor de server overbelast raakt en websites of diensten traag worden of uitvallen.

Vaak merken gebruikers niet dat hun apparaat onderdeel is van een botnet. Zo’n netwerk kan daardoor langere tijd actief blijven, soms zelfs meer dan 24 uur. Signalen zijn meestal subtiel, zoals verminderde prestaties of een apparaat dat sneller warm wordt.

DDoS-aanvallen gebruiken vaak IP-spoofing om de herkomst van verkeer te verbergen. Hierdoor lijkt het alsof het verkeer van legitieme apparaten komt, terwijl het onderdeel is van de aanval. Dit maakt het moeilijker om kwaadaardig verkeer te blokkeren en om de dader te achterhalen.

DDoS-aanvallen kunnen zich richten op verschillende lagen van netwerkcommunicatie (OSI-model):

• Netwerklaag (laag 3). Smurf-aanvallen, ICMP-floods en IP/ICMP-fragmentatie
• Transportlaag (laag 4). SYN-floods, UDP-floods en TCP connection exhaustion
• Toepassingslaag (laag 7). HTTP-GET aanvallen op webservers

Hoe lang duurt een DDoS-aanval?

De duur van een DDoS-aanval kan sterk variëren. In sommige gevallen duurt een aanval slechts een paar uur, terwijl andere aanvallen meerdere dagen kunnen aanhouden.

Hoe lang een DDoS-aanval duurt, hangt vooral af van de middelen van de aanvaller en de beveiliging van het doelwit. Een klein of slecht beschermd systeem kan sneller uitvallen, terwijl goed beveiligde netwerken een aanval vaak langer kunnen weerstaan of sneller kunnen afweren.

Soorten DDoS-aanvallen

DDoS-aanvallen komen in verschillende vormen voor, afhankelijk van welke laag van een netwerk wordt aangevallen en hoe het verkeer wordt opgezet. Hieronder staan de belangrijkste types.

TCP-aanval

Dit type aanval richt zich op het uitputten van verbindingen tussen een client en server. Door heel veel verbindingsverzoeken te sturen, raakt de server overbelast en kan deze geen nieuwe verbindingen meer verwerken.

Volumetrische aanval

Volumetrische aanvallen zijn gericht op het overspoelen van een netwerk met enorme hoeveelheden verkeer. Het doel is om de volledige bandbreedte van een systeem op te vullen, waardoor legitiem verkeer er niet meer doorheen komt.

Fragmentatie-aanval

Bij een fragmentatie-aanval wordt netwerkverkeer opgesplitst in kleine pakketjes die moeilijk correct kunnen worden hersteld door de server. Dit kan leiden tot fouten, vertraging of een vastlopende verbinding.

DDoS-aanval op de applicatielaag

Deze aanvallen richten zich op de applicatielaag (laag 7) en bootsen normaal gebruikersgedrag na, zoals HTTP-verzoeken. Hierdoor zijn ze moeilijker te herkennen en kunnen ze specifieke webdiensten of applicaties gericht verstoren.

Waarom voeren aanvallers DDoS-aanvallen uit?

Aanvallers hebben verschillende redenen om een DDoS-aanval uit te voeren:

• Afpersing: losgeld eisen om de aanval te stoppen.
• Hacktivisme: politieke of ideologische doelen.
• Concurrentieschade: bedrijven tijdelijk uitschakelen of verstoren.
• Afleiding: andere cyberaanvallen verbergen terwijl beveiliging bezig is met de DDoS.
• Persoonlijke conflicten: gericht op individuen of organisaties uit wraak of frustratie.

Dit laat zien waarom een DDoS-aanval gevaarlijk is: de gevolgen gaan verder dan alleen een website die offline gaat. Het kan leiden tot financiële schade, reputatieverlies en verstoring van belangrijke digitale diensten of infrastructuren.

Hoe kun je een DDoS-aanval herkennen?

Dit zijn de belangrijkste signalen van een DDoS-aanval:

• Websites of diensten laden extreem traag of niet meer.
• Plotselinge ongebruikelijke verkeerpieken zonder duidelijke of logische aanleiding.
• Grote hoeveelheid aanvragen naar één specifieke pagina of endpoint.
• Regelmatige time-outs en foutmeldingen bij websitebezoeken.
• Netwerk- of servercapaciteit raakt onverwacht volledig benut.

Hoewel deze signalen ook door technische problemen of populaire content kunnen ontstaan, is een combinatie ervan vaak een sterke indicatie van een DDoS-aanval. 

Hoe kun je een DDoS-aanval voorkomen?

Een DDoS-aanval voorkomen is niet altijd mogelijk, maar met de juiste maatregelen kun je de kans sterk verkleinen en de impact beperken. Goede DDoS-bescherming en DDoS-mitigatie richten zich op het filteren van verkeer voordat het de server bereikt.

Belangrijke manieren om DDoS-aanvallen te voorkomen

• Bescherm apparaten tegen malware. Gebruik betrouwbare beveiligingssoftware zoals NordVPN’s next-gen antivirus om te voorkomen dat apparaten onderdeel worden van een botnet dat gebruikt kan worden voor DDoS-aanvallen.
• Monitor netwerkverkeer actief. Houd verkeer en pieken in de gaten, zodat verdachte activiteit snel wordt herkend en aangepakt.
• Gebruik firewalls en traffic filtering. Stel beveiligingsregels in die ongewenst of verdacht verkeer automatisch blokkeren.
• Zet anti-DDoS bescherming in. Maak gebruik van gespecialiseerde diensten die verkeer analyseren en grote hoeveelheden aanvalstrafiek kunnen filteren voordat het je server bereikt.
• Beperk directe blootstelling van systemen. Zorg dat alleen noodzakelijke diensten toegankelijk zijn via het internet en sluit onnodige poorten of endpoints.

Door deze maatregelen te combineren verbeter je de algehele DDoS-bescherming en verklein je de kans op een succesvolle aanval aanzienlijk, al blijft volledige bescherming in de praktijk lastig te garanderen.

Helpt een VPN DDoS-aanvallen te voorkomen?

DDoS-aanvallen worden vaak ingezet om de reputatie, prestaties of omzet van een persoon, speler of platform te verstoren. Ook individuele gebruikers kunnen doelwit worden, vooral in online gaming. In sommige gevallen proberen tegenstanders via je IP-adres je verbinding te verstoren met een DDoS-aanval, wat vooral zorgt voor frustratie tijdens het spelen.

Je kunt een aanval op een centrale gameserver zelf niet voorkomen. Bij P2P-gaming (peer-to-peer) maak je direct verbinding met andere spelers, waardoor je IP-adres zichtbaar kan worden. Met een VPN voor gaming wordt je echte IP-adres verborgen achter een beveiligde verbinding, waardoor anderen het niet kunnen achterhalen of misbruiken.

DDoS-aanvallen in Nederland: overheid, DigiD en gemeenten

In Nederland zijn vooral publieke diensten regelmatig doelwit van DDoS-aanvallen. Dit komt doordat systemen zoals overheidswebsites en digitale loketten veel gebruikers hebben en een storing direct impact heeft op burgers. Zo kan een DDoS-aanval op DigiD ervoor zorgen dat mensen tijdelijk niet kunnen inloggen op belangrijke overheidsdiensten, zoals belastingzaken of zorgportalen..

Gemeenten zijn eveneens een vaak doelwit. Hierbij raken vooral gemeentelijke websites en digitale portalen verstoord, waardoor inwoners tijdelijk geen documenten kunnen aanvragen of informatie kunnen raadplegen. Een recent voorbeeld is de DDoS-aanval in 2025 op Notubiz, het systeem voor raadsinformatie en vergaderdocumenten, waardoor meerdere gemeenten beperkt toegang hadden tot bestuursinformatie.

Naast de overheid worden er ook regelmatig DDoS-aanvallen op bedrijven uitgevoerd. Hierbij gaan vaak commerciële websites of online diensten tijdelijk offline, wat direct invloed heeft op de bereikbaarheid, omzet en het vertrouwen van klanten.

Is het uitvoeren van een DDoS-aanval strafbaar?

Ja, het uitvoeren van een DDoS-aanval is strafbaar in Nederland. Volgens artikel 138b van het Wetboek van Strafrecht wordt het opzettelijk verstoren van computersystemen gezien als een misdrijf. Dit kan leiden tot hoge boetes en gevangenisstraffen.

Slachtoffers wordt aangeraden om altijd aangifte te doen en incidenten te melden via officiële kanalen. Dit helpt bij opsporing en preventie van verdere aanvallen.

Wat moet je doen tijdens een DDoS-aanval?

Tijdens een DDoS-aanval is snel handelen belangrijk. Volg deze stappen om de impact te beperken en de aanval goed aan te pakken.

Stappenplan:

1. 1.Herken de aanval. Controleer of er sprake is van extreem verkeer, trage diensten of uitval. Bepaal of het gaat om een aanval op je internetverbinding of op een specifieke webapplicatie.
2. 2.Neem contact op met je provider. Meld de aanval bij je internet- of hostingprovider. Zij kunnen verkeer analyseren en direct ingrijpen.
3. 3.Activeer DDoS-bescherming. Schakel indien mogelijk mitigatie in, zoals traffic filtering of een DDoS-beschermde dienst.
4. 4.Verzamel bewijs. Bewaar logs, foutmeldingen en tijdstippen voor analyse en eventuele vervolgstappen.
5. 5.Meld het incident. DDoS-aanvallen vallen onder cybercriminaliteit en zijn strafbaar in Nederland. Meld cybercrime altijd via officiële kanalen.