Aanvallen op laag 3, laag 4 en laag 7
Laag 3-aanvallen targeten de netwerklaag (IP, ICMP) — voorbeelden zijn ICMP flood en IP-fragmentatie-aanvallen. Laag 4-aanvallen targeten de transportlaag (TCP, UDP) — voorbeelden zijn SYN flood, UDP-amplificatie en DNS-amplificatie. Laag 7-aanvallen targeten de applicatielaag (HTTP, HTTPS) — voorbeelden zijn HTTP GET/POST-floods en Slowloris. Elke laag vereist andere mitigatie.
Volumetrische aanvallen op laag 3 en 4 proberen de netwerkpijp zelf te verzadigen. De grootste publiek bekendgemaakte aanvallen hebben de drempel van meerdere terabits per seconde overschreden — Cloudflare meldde de mitigatie van een aanval van 7,3 Tbps in mei 2025, en AWS Shield meldde een aanval van 2,3 Tbps al in februari 2020. Deze aanvallen werken omdat amplificatieprotocollen (DNS, NTP, memcached, CLDAP) een kleine gespoofte query een veel grotere respons naar het slachtoffer laten triggeren — amplificatiefactoren van 50x voor DNS, 200x voor NTP en 50.000x voor memcached zijn gedocumenteerd. Protocol-aanvallen op laag 4 — SYN floods, ACK floods, gefragmenteerde-pakketaanvallen — putten de connection-tracking state op firewalls en load balancers uit in plaats van bandbreedte te verzadigen. Laag 7-aanvallen zijn de kleinste in bytes maar het moeilijkst te filteren: een HTTP flood van een botnet met 100.000 nodes lijkt bit-voor-bit op echte gebruikers, en alleen applicatiebewuste logica kan ze onderscheiden.
BGP blackhole en remote-triggered black hole (RTBH)
BGP blackholing is de brute maar effectieve mitigatie als laatste redmiddel: de netwerkoperator adverteert een /32-route voor het aangevallen IP-adres in een speciale 'blackhole' BGP-community, en vertelt zo alle upstream-peers om verkeer naar dat IP volledig te laten vallen. Het doelwit blijft offline, maar de rest van het netwerk blijft online. RTBH is gestandaardiseerd in RFC 5635 en wordt ondersteund door elke Tier 1-carrier.
RTBH is gedocumenteerd in RFC 5635 (augustus 2009) en werkt door een route te taggen met een community-attribuut dat upstream-peers interpreteren als 'verwerp al het verkeer bestemd voor deze prefix'. De mitigatie is totaal — het beschermde IP wordt onbereikbaar vanuit het hele internet, ook voor legitieme gebruikers — maar het beschermt de rest van de klantvloot tegen nevenschade. Vanwege hoe lomp het is, is RTBH passend wanneer één IP wordt verzadigd door een aanval van meerdere honderden gigabits en de kosten van een bredere uitval zwaarder wegen dan het online houden van dat ene IP. Veel laag-niveau 'DDoS-beschermde' VPS-pakketten betekenen feitelijk precies dit: de aanbieder zal uw IP onder aanval null-routen om de rest van hun vloot veilig te houden. Dat is per definitie denial-of-service-mitigatie, maar de beschermde resource is het netwerk van de aanbieder, niet dat van u.
Scrubbing centers en verkeersomleiding
Een scrubbing center is een gehard netwerkknooppunt waar aanvalsverkeer wordt uitgefilterd en schoon verkeer naar de origin wordt doorgestuurd. Verkeer wordt daarheen omgeleid via BGP-aankondiging (altijd-actief of on-demand) of DNS-pointing. Scrubbing-capaciteit per Tbps is de belangrijkste metriek — de grootste aanbieders exploiteren meer dan 200 Tbps aan totale scrubbing, terwijl gespecialiseerde hostingaanbieders doorgaans 1-10 Tbps adverteren.
Scrubbing centers draaien gespecialiseerde appliances — Arbor TMS, Radware DefensePro, A10 Thunder, NSFOCUS ADS, of grootschalige aangepaste Linux/DPDK-pijplijnen — die elk pakket inspecteren, goedaardige versus kwaadaardige patronen classificeren en alleen het schone deel doorsturen naar de origin. De omleiding gebeurt meestal via BGP: de prefix van de klant wordt tijdens een aanval geadverteerd vanuit het anycast-netwerk van de scrubbing-aanbieder, waardoor al het verkeer naar de dichtstbijzijnde scrubbing-site wordt gezogen. Na het schoonmaken wordt verkeer getunneld (GRE, IPSec, dedicated cross-connect of directe peering) terug naar de origin-server. De scrubbing-latentie is doorgaans 1-3 ms binnen de regio, plus de extra route die de omleiding toevoegt. Altijd-actieve scrubbing houdt de omleiding permanent, wat de opstarttijd voor mitigatie elimineert ten koste van een constante latentiebelasting. On-demand scrubbing leidt alleen om tijdens gedetecteerde aanvallen, wat goedkoper is maar een activeringsvenster van 30-180 seconden introduceert waarin de aanval doorkomt.
Altijd-actieve vs on-demand mitigatie
Altijd-actieve mitigatie routeert al het verkeer 24/7 door de scrubbing-laag — geen activeringsvertraging, maar elk pakket betaalt een kleine latentiebelasting (typisch 1-5 ms). On-demand mitigatie activeert alleen wanneer een aanval wordt gedetecteerd, wat steady-state-latentie elimineert maar de origin blootstelt tijdens het activeringsvenster (typisch 30-180 seconden). Hybride opzetten combineren beide: altijd-actief voor HTTP/HTTPS, on-demand voor onbewerkt IP-verkeer.
Kiezen tussen altijd-actief en on-demand is een afweging tussen steady-state-latentie en kwetsbaarheid in het aanvalsvenster. Latentiegevoelige diensten — multiplayer-gameservers, trading met lage latentie, spraak/video — kiezen doorgaans on-demand en accepteren de activeringskloof omdat elke milliseconde steady-state-RTT hen kost. Publiek toegankelijke webdiensten, API's en SaaS-apps kiezen doorgaans altijd-actief of een volledig geproxyde CDN-achtige topologie waarbij het origin-IP zelfs niet publiekelijk bekend is, wat het aanvalsvenster volledig elimineert. Moderne cloud-edge-aanbieders (Cloudflare, Fastly, AWS Shield Advanced, Google Cloud Armor) neigen standaard naar altijd-actief omdat hun netwerk verkeer toch al beëindigt op honderden edge-locaties en de 'omweg' in feite nul is.
Rate limiting, WAF en verdediging op applicatielaag
Rate limiting begrenst verzoeken per bron-IP, per sessie of per URL en stompt laag-7-floods af zonder legitiem verkeer te beïnvloeden. Een Web Application Firewall (WAF) inspecteert HTTP-verzoeken op basis van regels — OWASP Top 10-bescherming, aangepaste rate-regels, geo-blokkering, JS-challenges en CAPTCHA. Samen verwerken ze de laag-7-aanvallen die volumetrische scrubbing alleen niet aankan.
Volumetrische scrubbing stopt bij de IP-en-poort-grens. Om een HTTP flood te stoppen die op echt Chrome-verkeer lijkt, heeft u regels nodig die opereren op URL's, headers, cookies en gedrag. Rate limiting is de eenvoudigste en meest effectieve laag-7-controle: begrens één IP op bijvoorbeeld 60 verzoeken per minuut op /login, laat de rest vallen. Een WAF gaat verder met inhoudsbewuste regels: blokkeer verzoeken met SQL-injectiepatronen, afwijkende user agents, ontbrekende referrers, geografische oorsprongen buiten uw servicegebied of payload-groottes ver buiten het legitieme bereik. Moderne WAF's (AWS WAF, Cloudflare WAF, Fastly Next-Gen WAF, ModSecurity met de OWASP Core Rule Set) draaien ook JavaScript-challenges, hCaptcha en bot-fingerprint-heuristieken die het hit rate van een botnet met 99%+ verlagen zonder echte browsers te hinderen.
Wat hostingaanbieders doorgaans inbegrepen hebben vs apart in rekening brengen
Gratis of inbegrepen niveaus dekken doorgaans laag-3-4-volumetrische aanvallen tot een vaste gigabit-per-seconde-limiet (vaak 10-100 Gbps) met basale rate limiting en BGP blackhole. Betaalde add-ons omvatten doorgaans altijd-actieve scrubbing, WAF, laag-7-mitigatie, het schrijven van aangepaste regels en SLA-gedekte mitigatiegaranties. Lees het contract — 'onbeperkte DDoS-bescherming' betekent vaak 'we zullen u null-routen boven X Gbps'.
DDoS-marketing van hostingaanbieders varieert enorm. Werkelijk nuttige bescherming bevat drie zaken: (1) een duidelijk vermelde capaciteit in Gbps of Tbps, (2) dekking van laag 3 tot en met laag 7 inclusief HTTP-flood-mitigatie, en (3) een geschreven SLA met toezeggingen voor de aanvangstijd van mitigatie en verkeersverlies. Minder nuttige bescherming is een enkele 'DDoS protected'-badge zonder capaciteitsnummer, wat meestal alleen BGP blackhole betekent — uw IP wordt onder aanval null-geroute en u bent voor de duur offline. Vraag bij evaluatie: wat is de vermelde capaciteit per IP? Is het altijd-actief of on-demand? Dekt het laag 7? Wat is de SLA voor de activeringstijd van mitigatie? Wat gebeurt er nadat de aanval de limiet van uw niveau overschrijdt? De antwoorden onthullen of u echte bescherming koopt of een marketingetiket.