Knowledge baseNetwork

DDoS-aanvallen: zo bescherm je je infrastructuur

24 June 20267 min read

Een DDoS-aanval is geen inbraak — er wordt niets gestolen of gekraakt. Het doel is simpeler en botter: je dienst onbereikbaar maken door hem te verzuipen in verkeer. En omdat de aanval van duizenden plekken tegelijk komt (de eerste D staat voor distributed), is "die ene bron blokkeren" geen optie. Wie infrastructuur aan het internet hangt, krijgt er vroeg of laat mee te maken — de vraag is of je dan een plan hebt.

Drie soorten aanvallen

Volumetrisch — de botte bijl: meer bits dan je verbinding aankan. Vaak via amplificatie: de aanvaller stuurt kleine vragen met jouw IP-adres als afzender naar slecht geconfigureerde open servers (DNS, NTP), die vervolgens grote antwoorden naar jóu sturen. Zo wordt een kleine aanvalscapaciteit vermenigvuldigd tot honderden gigabits.

Protocol- en state-uitputting — niet de lijn maar de apparatuur is het doelwit. Een SYN-flood opent duizenden halve TCP-verbindingen per seconde totdat de verbindingstabel van je firewall of loadbalancer vol zit. De lijn is dan nog lang niet vol, maar je dienst is toch onbereikbaar.

Applicatielaag (L7) — de subtielste variant: ogenschijnlijk legitieme verzoeken, maar dan heel veel, gericht op je zwaarste endpoints (zoekfunctie, login, winkelwagen). Lastig te onderscheiden van echte gebruikers, en al effectief bij bescheiden volumes.

De verdediging, laag voor laag

Er is geen enkel product dat "DDoS oplost" — het is een stapel maatregelen, elk voor een ander type aanval.

1. Begin bij hygiëne. Filter uitgaand verkeer op gespoofte afzenderadressen (BCP38/uRPF) en zet geen open resolvers of onbeveiligde NTP-servers aan het internet. Dit beschermt vooral ánderen — amplificatie werkt alleen omdat er netwerken zijn die dit nalaten. Wie zelf infrastructuur beheert, hoort hier gewoon aan mee te doen.

2. Blackholing (RTBH) — de noodrem. Via een BGP-community (well-known: 65535:666, RFC 7999) vraag je je transitprovider om al het verkeer naar het aangevallen IP-adres al aan díens rand weg te gooien. Binnen seconden actief, en je overige infrastructuur is ontlast — maar het aangevallen adres is daarmee ook zelf offline. Blackholing offert één IP op om de rest te redden.

3. FlowSpec (RFC 8955) — het scalpel naast de noodrem: in plaats van een heel IP-adres droppen, geef je via BGP een filterregel door — "drop UDP/123 naar dit prefix" — zodat alleen het aanvalsverkeer sneuvelt. Krachtig, maar niet elke provider biedt het aan en een foute regel raakt méér dan de aanval.

4. Scrubbing — de dienst online hóuden. Bij een aanval leid je je verkeer via BGP om naar een wasstraat die het aanvalsverkeer eruit filtert en het schone verkeer teruglevert via een tunnel of directe verbinding. In Nederland is de NaWas van stichting NBIP het bekende gedeelde model; daarnaast bestaan commerciële (internationale) scrubbers. Dit is de aanpak voor diensten die niet óók maar even offline mogen.

5. De applicatielaag — L7-aanvallen los je niet in het netwerk op. Daar helpen een CDN of anycast-laag vóór je dienst, rate limiting op dure endpoints, caching en een WAF.

Wat regel je vóóraf?

Tijdens een aanval is het te laat om te gaan bellen. Het verschil tussen een vervelend halfuur en een verloren dag zit in voorbereiding:

  • Afspraken met je transitprovider — welke blackhole-community geldt er, is FlowSpec mogelijk, hoe snel schakelt het NOC? Bij onze transit komen deze afspraken standaard in de intake aan bod.
  • Detectie — je wilt een aanval zien in je monitoring (flow-data, lijnbezetting) vóórdat je klanten hem melden.
  • Een runbook — wie besluit tot blackholen, welk IP-adres kan gemist worden, wie communiceert naar klanten? Eén A4'tje dat iedereen kent.
  • Multihoming — met een eigen AS en meerdere upstreams heb je per aanval meer opties dan met één enkele verbinding.

Nuchter blijven

De meeste aanvallen zijn kort, ongericht en volumetrisch — met een goede provider-afspraak en een noodrem die werkt, kom je een heel eind. Structureel doelwit? Dan hoort scrubbing in het plan. Wij denken graag mee over wat bij jouw situatie past: van routebeleid en blackholing op je transitsessie tot de inrichting erachter — neem contact op of lees eerst hoe IP-transit bij ons werkt.

Frequently asked questions

Frequently asked questions

Beschermt mijn firewall tegen DDoS?

Tegen applicatielaag-aanvallen kan een firewall of WAF iets betekenen, maar tegen een volumetrische aanval niet — de verbinding vóór je firewall loopt vol voordat het apparaat iets kan doen. Volumetrische aanvallen moet je in het netwerk oplossen, niet erachter.

Wat is het nadeel van blackholing?

Blackholing gooit ál het verkeer naar het aangevallen IP-adres weg, ook het legitieme. Voor dat ene adres maak je de aanval daarmee feitelijk af. Het is een noodrem die de rest van je infrastructuur redt — geen oplossing die de dienst zelf online houdt.

Wat is de NaWas?

De Nationale Wasstraat van stichting NBIP; een gedeelde Nederlandse scrubbing-voorziening. Deelnemers leiden bij een aanval hun verkeer via BGP om naar de NaWas, die het aanvalsverkeer eruit filtert en het schone verkeer teruglevert.

Answer not found?

Ask an engineer directly — we usually respond within one business day.