Hoe werkt een DDoS-aanval nou écht? Een complete uitleg voor MKB-ondernemers en gamers
Je hoort het woord 'DDoS' overal — in het nieuws, van collega's, in gaming-community's. Maar wat gebeurt er nu precies achter de schermen? Hoe kan het dat een webshop, game server of website van de ene op de andere seconde onbereikbaar wordt, simpelweg omdat iemand besluit een knop in te drukken? In deze gids leggen we het hele proces uit, van de eerste milliseconde tot het moment dat alles weer werkt. Geen ingewikkeld jargon dat je opnieuw moet opzoeken, maar heldere uitleg die je direct begrijpt.
Inhoudsopgave
- Wat is een DDoS-aanval in de eenvoudigste bewoordingen?
- Stap voor stap: hoe een DDoS-aanval verloopt
- De drie soorten DDoS-aanvallen: L3, L4 en L7
- Hoe ziet een DDoS-aanval eruit voor de gebruiker?
- Wie zit er achter DDoS-aanvallen?
- Hoe stopt een DDoS-aanval?
- Waarom always-on DDoS-bescherming beter is dan on-demand
- De cijfers in 2026: waarom het nú belangrijk is
- Wat kun je zelf doen? Praktische stappen
- Conclusie
Wat is een DDoS-aanval in de eenvoudigste bewoordingen?
Stel je een kleine winkelstraat voor. Normaal komen er één voor één klanten binnen — dat werkt prima. Een DDoS-aanval stuurt plotseling duizenden mensen tegelijk naar die ene winkel, tot de deur niet meer open kan, de vloer vol staat, en niemand — ook échte klanten niet — er nog in kan.
De letterlijke vertaling zegt het al: Distributed Denial of Service — het verspreid ontzeggen van dienstverlening. En 'distributed' (verspreid) is het sleutelwoord: de aanval komt niet van één computer, maar van honderden, duizenden of zelfs honderdduizenden apparaten tegelijk.
Stap voor stap: hoe een DDoS-aanval verloopt
Een DDoS-aanval kent een aantal vaste fases. Dit is wat er gebeurt van begin tot eind.
Fase 1: Het botnet wordt opgebouwd
Een aanvaller heeft niet zelf duizenden computers nodig. Hij bouwt (of huurt) een botnet: een leger van gehackte apparaten. Denk aan:
- Oude laptops en desktops waarvan de eigenaar niet weet dat ze besmet zijn
- Verouderde routers en beveiligingscamera's met nog de fabriekswachtwoorden
- IoT-apparaten zoals slimme deurbellen, printers en thermostaten
- Cloud-servers die zijn binnengedrongen via lekke wachtwoorden
De eigenaren van deze apparaten merken er meestal niets van — behalve misschien dat hun internet soms wat trager is.
Zelf een botnet opbouwen is arbeidsintensief, dus de meeste aanvallers huren er een. Via ondergrondse marktplaatsen op het dark web kun je voor €20 tot €100 al een botnet huren voor een paar uur. Ja, het is echt zo goedkoop.
Fase 2: De aanval wordt gelanceerd
Op een afgesproken tijdstip stuurt de aanvaller één signaal naar alle duizenden apparaten in het botnet: "Val nú aan."
Alle apparaten beginnen tegelijk verkeer te sturen naar het doelwit — jouw game server, webshop of website. Waar normaal 50 bezoekers per seconde binnenkomen, worden het er nu 50.000, 100.000 of zelfs 1 miljoen per seconde.
Fase 3: Het doelwit raakt overbelast
Hier gebeurt het echte werk. Een server heeft beperkte capaciteit:
- Netwerkbandbreedte: de internetverbinding kan maar een bepaalde hoeveelheid data per seconde verwerken. Als het botnet meer stuurt dan de lijn aankan, raakt de pijp verstopt en komt er niets meer door.
- Server-processorkracht: elke binnenkomende verbinding kost een beetje rekentijd. Bij tienduizenden verbindingen tegelijk raakt de CPU overbelast en kan hij geen échte verzoeken meer verwerken.
- Geheugen en database-capaciteit: bij webshops en websites moeten vaak databases worden geraadpleegd. Te veel verzoeken tegelijk laten de database vastlopen.
Het resultaat: jouw server reageert niet meer, geeft foutmeldingen (503, 502, timeouts), of is simpelweg onbereikbaar.
De drie soorten DDoS-aanvallen: L3, L4 en L7
Niet elke DDoS-aanval is hetzelfde. De aanvallers gebruiken verschillende methodes, afhankelijk van wat ze willen bereiken.
Laag 3: Volumetrische aanvallen (netwerklaag)
Dit is de meest brute vorm. Het botnet stuurt zoveel data naar jouw server dat de internetverbinding volledig verzadigd raakt. Denk aan een snelweg waar op élke rijstrook miljoenen auto's tegelijk proberen te rijden — de hele weg staat muurvast.
Deze aanvallen worden gemeten in Gbps (gigabit per seconde) en pps (packets per seconde). In het eerste kwartaal van 2026 zag NBIP/NaWas een piekaanval van 144,29 Gbps — genoeg om de meeste MKB-internetverbindingen plat te krijgen.
Retslav kan deze aanvallen mitigeren tot 10 Tbps+ (Enterprise-plan), wat 70 keer zoveel is als die piekaanval.
Laag 4: Protocol-aanvallen (transportlaag)
Hier worden zwakheden in internet-protocollen misbruikt. De bekendste is de SYN flood: de aanvaller stuurt duizenden 'verbinding verzoeken' maar reageert nooit op het antwoord. De server blijft wachten op een reactie en raakt uiteindelijk al zijn beschikbare verbindingen kwijt.
Dit is alsof iemand duizend keer de deurbel indrukt en wegrent — jij blijft elke keer naar de deur lopen, maar er staat nooit iemand.
Laag 7: Applicatie-aanvallen (de slimste)
Dit is de meest verraderlijke variant. De aanvaller stuurt verzoeken die eruitzien alsof ze van échte bezoekers komen — ze gebruiken dezelfde browsers, dezelfde headers, hetzelfde gedrag. Alleen zijn het er véél te veel.
Waar L3/L4-aanvallen te vergelijken zijn met een stormram op de voordeur, is L7 meer alsof duizenden 'klanten' tegelijk je webshop binnenkomen, allemaal precies hetzelfde product in hun winkelmandje stoppen, en dan de checkout blijven refreshen. De server kan het verschil niet zien tussen een echte klant en een aanvaller.
53% van alle gemitigeerde aanvallen in Q1 2026 was L7, volgens het NBIP/NaWas DDoS-trendrapport. Dit is de snelstgroeiende aanvalsvorm.
Hoe ziet een DDoS-aanval eruit voor de gebruiker?
Als jouw server wordt aangevallen, merk je dit aan een aantal duidelijke signalen:
- De website laadt niet of extreem traag — het duurt 30 seconden tot minuten voordat een pagina begint te laden
- Foutmeldingen zoals 503 Service Unavailable, 502 Bad Gateway of ERR_CONNECTION_TIMED_OUT
- Ping naar je server mislukt — de server reageert helemaal niet meer
- Je game server staat op 'offline' in de serverlijst, of niemand kan joinen
- De CPU-belasting van je server schiet plotseling naar 100% zonder duidelijke reden
Deze signalen worden in detail behandeld in onze eerdere blogpost over de 7 signalen van een DDoS-aanval.
Wie zit er achter DDoS-aanvallen?
Verrassend genoeg zijn de daders vaak niet de geniale hackers uit films. Het zijn meestal:
- Concurrenten die een game server of webshop offline willen hebben voor een belangrijk event (Black Friday, een toernooi, een lancering)
- Gamers met een griep die wraak nemen op een server waarvan ze zijn verbannen
- Gelegenheidscriminelen die botnets huren voor afpersing (DDoS-extortion: "Betaal €500 of we leggen je site plat")
- Hacktivisten die een statement willen maken door een organisatie offline te halen
- Automatische scans — soms word je gewoon willekeurig gekozen door een bot die kwetsbare servers zoekt
Hoe stopt een DDoS-aanval?
Hier komt DDoS-bescherming om de hoek kijken. Een goede bescherming heeft meerdere lagen:
Stap 1: Detectie
Het systeem herkent afwijkend verkeer. Normaal komen er 100 bezoekers per minuut binnen. Als dat ineens 10.000 per seconde is, slaat de alarmfase aan.
Moderne detectie kijkt niet alleen naar volume, maar naar verkeerspatronen: komt het verkeer allemaal uit dezelfde regio? Hebben alle verzoeken dezelfde browser fingerprint? Worden er verdachte patronen herhaald?
Stap 2: Mitigatie
Het DDoS-filter (ook wel 'scrubber' genoemd) gaat het verkeer analyseren. Goed verkeer wordt doorgelaten, kwaadaardig verkeer wordt geblokkeerd. Dit gebeurt razendsnel — binnen seconden na detectie.
Retslav gebruikt zowel L4-filtering (kijkt naar IP-adressen, protocollen, poorten) als L7-filtering (kijkt naar HTTP-headers, gebruikersgedrag, rate limiting). De combinatie van beide is essentieel, want alleen L4-filtering stopt geen L7-aanval en andersom.
Stap 3: Herstel
Nadat het kwaadaardige verkeer is gefilterd, komt alleen het echte verkeer nog door. Je website of game server is weer bereikbaar — vaak binnen 30 tot 60 seconden na de start van de aanval.
Waarom always-on DDoS-bescherming beter is dan on-demand
Sommige aanbieders bieden 'on-demand' DDoS-bescherming: pas als je wordt aangevallen, wordt het filter ingeschakeld. Het probleem? De aanval is dan al begonnen en het duurt 5 tot 30 minuten voordat het filter actief is. In die tijd ben je gewoon offline.
Always-on filtering (zoals Retslav biedt) staat altijd tussen jouw server en het internet. Al het verkeer wordt continu gescrubd, zonder vertraging. Het nadeel? Er is een klein beetje latency (meestal 1-5 milliseconden extra). In de praktijk merk je hier niets van — maar het verschil tussen wel of geen bescherming tijdens een aanval is enorm.
De cijfers in 2026: waarom het nú belangrijk is
- 2.728 DDoS-aanvallen gemitigeerd in Q1 2026 alleen al door NBIP/NaWas — een stijging van 42% ten opzichte van Q4 2025
- 53% van de aanvallen was L7 (applicatieniveau) — de moeilijkst te blokkeren variant
- Piekaanval: 144,29 Gbps — genoeg om vrijwel elke MKB-verbinding plat te krijgen
- Sinds 15 augustus 2026 is de Cyberbeveiligingswet (NIS2) van kracht, die van bedrijven in 18 sectoren verlangt dat ze 'passende technische maatregelen' nemen — waar DDoS-bescherming onder valt
Wat kun je zelf doen? Praktische stappen
Een DDoS-aanval is niet helemaal te voorkomen (iedereen met een internetverbinding kan worden aangevallen), maar je kunt je wél voorbereiden:
- Kies een host met always-on DDoS-bescherming — niet alleen on-demand
- Zorg dat je host Nederlands of Europees is — lagere latency én valt onder Europese privacywetgeving
- Controleer of L7- én L4-filtering wordt geboden — de ene zonder de andere is onvolledig
- Test je noodplan — wat doe je als je server offline gaat? Heb je een backup?
- Gebruik een CDN of reverse proxy als extra laag — Cloudflare of een eigen proxy kan helpen, maar is geen volledige vervanging voor serieuze DDoS-bescherming
Conclusie
Een DDoS-aanval klinkt als iets abstracts uit een hackerfilm, maar de realiteit is alledaags en bereikbaar: een huurbotnet van €50, een appje naar een boze concurrent of ex-gamer, en jouw server ligt er binnen minuten uit.
Het goede nieuws: goede DDoS-bescherming is niet duur, niet ingewikkeld en niet exclusief voor grote bedrijven. Retslav biedt altijd-aan L7/L4-filtering vanuit Nederlandse datacenters, met vaste prijzen — geen "bel een engineer" constructies, geen verborgen kosten.
Bekijk onze DDoS-beschermingsplannen op retslav.net/pricing of doe eerst een gratis security scan van je website op retslav.net/scan om te zien hoe veilig je nu al bent.
Klaar om je server te beschermen?
Retslav biedt always-on L7/L4 DDoS-bescherming vanuit Nederlandse datacenters, met vaste prijzen en 24/7 support. Geen verborgen kosten, geen "bel een engineer".