Wanneer je organisatie ineens wordt overspoeld door een enorme piek in verkeer, is de eerste gedachte vaak dat het om een klassieke DDoS aanval gaat. Duizenden tot miljoenen requests tegelijk, servers die bijna bezwijken en diensten die tijdelijk uitvallen. Maar vaak is dit maar het halve verhaal. Niet elke DDoS heeft hetzelfde doel. Door te begrijpen hoe een aanval in elkaar zit, kun je beter je verdediging bepalen.
In de praktijk zien we grofweg twee typen DDoS aanvallen. De eerste is de klassieke variant die gericht is op pure verstoring. De tweede is subtieler en gevaarlijker, waarbij een DDoS wordt ingezet als rookgordijn voor gerichte aanvallen op systemen. Het verschil tussen deze twee werd voor ons onlangs heel concreet.
Zo kregen we laatst te maken met een aanval die duidelijk het eerste type was, een klassieke DDoS aanval. Een van onze loginomgevingen werd in korte tijd overspoeld met zo’n zestien miljoen requests van duizenden IP-adressen. Alles wees op een typische volumetrische aanval, veel lawaai en druk op de systemen, maar geen aanwijzingen dat er geprobeerd werd binnen te komen via bijvoorbeeld SQL-injecties of XSS. Dankzij onze beveiligingsmaatregelen konden we snel ingrijpen. Verdachte IP-adressen werden automatisch geblokkeerd en rate limiting zorgde ervoor dat het verkeer onder controle kwam. Uiteindelijk bleef de impact beperkt en doofde de aanval uit tot wat in feite achtergrondruis werd. Dit is DDoS in zijn meest herkenbare vorm, gericht op verstoring en niet op inbraak.
Juist daardoor is het risico groot dat je dezelfde reflex toepast op elke aanval die er zo uitziet. Maar een tweede scenario liet zien hoe misleidend dat kan zijn. Opnieuw zagen we enorme hoeveelheden verkeer, dit keer verdeeld over meerdere domeinen met pieken tot tientallen miljoenen requests. In eerste instantie leek het wederom een klassieke DDoS, maar bij nadere inspectie zagen we tussen de stroom aan requests door gerichte pogingen tot SQL-injecties en cross-site scripting. Het werd duidelijk dat dit een DDoS als rookgordijn betrof. Hier ging het niet alleen om verstoring, maar om het benutten van die verstoring. Terwijl alle aandacht uitgaat naar het beperken van de verkeerspiek, proberen aanvallers ongemerkt binnen te komen. In dit geval maakten ze een fout door dezelfde IP-adressen te gebruiken voor zowel de volumestorm als de infiltratiepogingen, waardoor ze al vroeg werden geblokkeerd. Maar de intentie was helder. Waar de eerste aanval systemen probeerde stil te leggen, probeerde deze variant juist onder de radar binnen te dringen.
Niet alles is wat het lijkt
Deze incidenten laten zien dat een DDoS aanval niet altijd is wat hij lijkt. Wie alleen naar volume kijkt, ziet maar de helft van het verhaal. Het verschil tussen de aanvalstypen bepaalt hoe je je verdedigt. Een goede verdediging begint met weten wat er in je netwerk gebeurt. Een netwerkaudit laat zien welke diensten en verbindingen echt van buitenaf bereikbaar moeten zijn en welke risico’s toevoegen. Alles wat niet nodig is, haal je weg of beveilig je goed.
Kritische applicaties mogen niet afhankelijk zijn van één locatie of netwerkroute. Meerdere datacenters en verbindingen verkleinen de kans dat een aanval alles platlegt. Centrale systemen zoals het Domain Name System verdienen extra aandacht, omdat bijna al het verkeer via DNS loopt en een aanval hier een kettingreactie kan veroorzaken.
Naast infrastructuur is actieve verdediging essentieel. Moderne DDoS bescherming werkt in meerdere lagen. Content Delivery Networks verspreiden content wereldwijd, WAAP-platformen blokkeren verdachte applicatiepatronen en rate limiting voorkomt overbelasting. Bij grote aanvallen filteren gespecialiseerde DDoS mitigatiediensten schadelijk verkeer uit voordat het je netwerk bereikt. Al deze lagen moeten vooraf getest zijn om effectief te zijn tijdens een echte aanval.
Ook de koppeling met externe mitigatieproviders is cruciaal. Minuten kunnen het verschil maken, dus integratie moet vooraf geregeld zijn. Directe verbindingen binnen datacenters geven stabiliteit, interconnection-platforms hoge prestaties, en GRE-tunnels bieden flexibiliteit maar vragen voorbereiding. Zonder testen kan hun effectiviteit tijdens een aanval beperkt zijn.
Tot slot gaat het om organisatie. Een duidelijk incident-response-playbook regelt beslissingen, escalaties en communicatie. 24/7-contactpersonen zijn belangrijk, omdat aanvallen vaak buiten kantooruren plaatsvinden. Een actueel overzicht van kritische systemen helpt bij prioriteren, en leveranciers moeten technische profielen aanleveren voor snelle mitigatie. Duidelijke afspraken over compliance en bewaartermijnen voorkomen vertraging in een crisis.
Uiteindelijk laat dit zien dat de ene DDoS aanval de andere niet is. Sommige zijn puur verstorend, andere fungeren als rookgordijn voor gerichte inbraakpogingen. Wie alleen naar volume kijkt, mist de echte dreiging. Een goede verdediging begint met inzicht in je netwerk, het onderscheiden van aanvalstypen en het opzetten van gelaagde bescherming en duidelijke incident-responseprocessen. Zo ben je voorbereid op elke aanval, ongeacht hoe hij zich voordoet.
Stefan Benske, Account Executive Netherlands bij Link11
Meer lezen
