We Develop Communication
ddoswebhostingsecuritybeginnerschecklist

DDoS bescherming uitgelegd: zo blijft je site online

Leer wat DDoS bescherming is, hoe aanvallen werken en welke lagen je nodig hebt om je website online te houden. Praktische uitleg en checklist.

25 mei 20268 min leestijdDoor We Develop Communication

Stel je voor: je webshop draait prima, en dan ineens is hij onbereikbaar. Duizenden requests per seconde, je server kreunt, bezoekers haken af. Geen hack, geen bug, een DDoS-aanval. Goede DDoS bescherming maakt het verschil tussen een paar minuten hikup en een dag offline met omzetverlies en reputatieschade.

In deze gids leg ik uit hoe DDoS-aanvallen werken, welke vormen er zijn en vooral: hoe je je website of webshop in 2026 effectief beschermt. Geen marketingpraat, maar de lagen en tools die echt werken.

Wat is een DDoS-aanval?

DDoS staat voor Distributed Denial of Service. Het doel is simpel: zoveel verkeer of verzoeken naar je server sturen dat legitieme bezoekers er niet meer bij kunnen. "Distributed" wil zeggen dat het verkeer van duizenden (soms miljoenen) verschillende bronnen tegelijk komt, meestal een botnet van geïnfecteerde apparaten.

Een normale server kan een bepaalde hoeveelheid verkeer aan. Overschrijd je die capaciteit, dan loopt alles vast: CPU op 100%, netwerk verzadigd, database verbindingen uitgeput. Je site toont een timeout of 502 Bad Gateway.

Het verschil met een "gewone" piek in verkeer? Bij een DDoS is het verkeer bewust kwaadaardig en vaak technisch afwijkend. Bij een legitieme piek (bijvoorbeeld een virale post) blijft het patroon menselijk.

De drie hoofdtypen DDoS-aanvallen

Niet elke aanval werkt hetzelfde. Grofweg zijn er drie categorieën, die overeenkomen met de OSI-lagen waarop ze opereren.

Volumetrische aanvallen (Layer 3)

Deze aanvallen proberen simpelweg je bandbreedte te verzadigen. Denk aan UDP floods, ICMP floods of DNS amplification. Aanvallers sturen bijvoorbeeld DNS-queries met gespoofed source-IP zodat grote responses naar jouw server stromen.

Schaal: van enkele Gbps tot records van meer dan 3 Tbps. Geen enkele standaardserver houdt dit tegen, dit moet op netwerkniveau gefilterd worden, upstream bij je provider of via een scrubbing center.

Protocol-aanvallen (Layer 4)

Deze richten zich op zwakheden in netwerkprotocollen. De klassieker is de SYN flood: de aanvaller stuurt eindeloze TCP-verbindingsverzoeken maar voltooit ze nooit, waardoor je server connecties reserveert tot hij omvalt.

Andere voorbeelden: ACK floods, fragmented packet attacks, Ping of Death. Ze verbruiken geen gigantische bandbreedte, maar putten state-tables en resources uit.

Applicatielaag-aanvallen (Layer 7)

De meest verraderlijke soort. Hier lijken de requests legitiem, bijvoorbeeld duizenden GET-requests naar je zoekpagina of POST-requests naar je login. Voorbeelden: HTTP floods, Slowloris, cache-busting attacks.

Layer 7-aanvallen zijn lastig te onderscheiden van echt verkeer. Ze vereisen intelligente filtering, rate limiting en bot detection. Dit is waar een Web Application Firewall (WAF) onmisbaar wordt.

Waarom elke website een doelwit is

Veel ondernemers denken: "wij zijn te klein voor een aanval." Helaas klopt dat niet. DDoS-aanvallen zijn in 2026 goedkoper en toegankelijker dan ooit:

  • Booter/stresser-diensten verhuren aanvallen vanaf €5 per uur
  • Concurrenten proberen soms je site plat te leggen tijdens Black Friday
  • Afpersers dreigen met een aanval als je geen bitcoin betaalt
  • Script kiddies scannen willekeurig het internet op kwetsbare endpoints
  • Politieke motivatie of gewoon "for the lulz"

Wil je verder lezen over bredere beveiliging? Bekijk dan onze hosting security basics over firewalls en updates, DDoS-bescherming is één van meerdere lagen die samen je site beschermen.

De lagen van DDoS bescherming

Effectieve bescherming is altijd gelaagd. Eén oplossing is nooit genoeg. Zo bouw je het op:

1. Bescherming op netwerkniveau bij je hoster

Je hostingprovider is de eerste verdedigingslinie. Kwaliteitsproviders hebben upstream filtering, BGP-routing naar scrubbing centers en blackholing voor extreme aanvallen. Vraag expliciet na: "Wat is jullie DDoS-mitigatiecapaciteit in Tbps, en wat kost het als ik onder aanval sta?"

Sommige hosters rekenen extra voor bandbreedte tijdens een aanval, een onaangename verrassing. Dit is ook een criterium in ons artikel over wat een hostingprovider 'goed' maakt.

2. CDN en edge-filtering

Een Content Delivery Network zoals Cloudflare, Fastly of BunnyCDN plaatst zich vóór je server. Al het verkeer loopt eerst door hun netwerk, dat ordes van grootte meer capaciteit heeft dan jouw oorsprongserver.

Voordelen:

  • Volumetrische aanvallen worden opgevangen door het CDN
  • Je echte server-IP blijft verborgen
  • Statische content wordt gecached, wat je oorsprong ontlast
  • Ingebouwde rate limiting en bot detection

Cloudflare's gratis plan biedt al verrassend veel bescherming. Voor serieuze e-commerce is het Pro- of Business-plan meestal een no-brainer.

3. Web Application Firewall (WAF)

Een WAF inspecteert HTTP/HTTPS-verkeer op applicatieniveau en blokkeert verdachte patronen: SQL-injection pogingen, XSS, maar ook Layer 7 DDoS-patronen zoals plotseling veel requests van één ASN.

Je hebt cloud-WAFs (Cloudflare, AWS WAF, Sucuri) en on-premise WAFs zoals ModSecurity op NGINX. In ons artikel over reverse proxies zoals NGINX en Traefik lees je hoe je zo'n laag zelf inricht.

4. Rate limiting en bot management

Zelfs zonder full-blown aanval wil je niet dat één IP 1000 requests per seconde naar je login-endpoint stuurt. Rate limiting op basis van IP, session of endpoint stopt de meeste brute-force en credential-stuffing aanvallen, en ook veel low-volume Layer 7 DDoS-pogingen.

Bot management gaat verder: het onderscheidt goede bots (Googlebot) van slechte bots via fingerprinting, JavaScript-challenges en machine learning.

5. Autoscaling en overprovisioning

Als aanvalsverkeer doorheen je filters glipt, moet je infrastructuur niet direct omvallen. Schaalbare hosting, load balancers en stateless applicaties helpen enorm. Lees hierover meer in onze load balancing basics.

Zo detecteer je een DDoS-aanval snel

Vroegtijdige detectie beperkt de schade. Let op deze signalen:

  • Plotselinge piek in verkeer, vooral uit ongebruikelijke landen
  • Onevenredig veel requests naar één endpoint (bijvoorbeeld /wp-login.php)
  • Hoog aantal requests per sessie of per IP
  • Stijgende response times of 5xx-errors in je monitoring
  • Abnormale verhouding tussen unieke bezoekers en page views

Monitoring is cruciaal. Tools als UptimeRobot, Pingdom, Grafana met Prometheus of de ingebouwde analytics van Cloudflare geven je real-time inzicht. Zorg dat je alerts krijgt voordat je klanten klagen.

Voor meer achtergrond over meten van performance en bereikbaarheid, zie ons artikel over uptime en SLA's.

Wat te doen tijdens een actieve aanval

Ben je nu onder vuur? Een beknopt noodplan:

  1. Activeer "Under Attack Mode" in Cloudflare of je equivalent, dit voegt JavaScript-challenges toe aan elke request
  2. Bel je hostingprovider en vraag om upstream filtering of nullrouting van aanvalsverkeer
  3. Blokkeer verdachte geo-locaties als je verkeer duidelijk uit één regio komt waar je geen klanten hebt
  4. Schaal tijdelijk op (meer workers, grotere VM) om door de piek heen te komen
  5. Documenteer alles: logs, IP-ranges, tijdstippen, nuttig voor forensisch onderzoek en aangifte
  6. Communiceer via status pages en social media; zwijgen voedt alleen maar speculatie

Doe in Nederland aangifte via politie.nl, ook als je denkt dat er niets mee gedaan wordt. Trends worden pas zichtbaar door meldingen.

DDoS bescherming kiezen: praktische checklist

Voor de meeste MKB-websites is dit een solide setup:

  • Cloudflare Pro of Business (€20-€200/maand) voor CDN + WAF + DDoS
  • Hostingprovider met ingebouwde Layer 3/4-bescherming en geen extra bandbreedtekosten tijdens aanvallen
  • Rate limiting op login- en formulierendpoints
  • Fail2ban of equivalent op je server voor SSH en applicatieniveau
  • Monitoring + alerting met automatische notificaties bij afwijkingen
  • Backup-strategie, lees hier meer over in backups: waarom en hoe

Voor e-commerce, SaaS of hoge-traffic sites schaal je op naar Cloudflare Enterprise, AWS Shield Advanced, of specialisten als Link11 en Radware. Hun Cloudflare DDoS-rapporten geven een goed idee van de actuele dreigingsschaal.

Veelgemaakte fouten

Wat je liever niet doet:

  • Alleen vertrouwen op één laag, als Cloudflare uitvalt of je echte IP lekt, lig je onderuit
  • Je origin-IP publiek laten staan, zorg dat je server alleen verkeer van je CDN accepteert (firewall op Cloudflare IP-ranges)
  • Geen tests doen, weet je team wat te doen? Doe één keer per jaar een tabletop-oefening
  • Bescherming pas aanzetten als het misgaat, configuratie onder stress leidt tot fouten
  • Aannemen dat je hostingpakket "wel wat" regelt, lees de kleine lettertjes

Veelgestelde vragen

Wat is DDoS bescherming?

DDoS bescherming is een combinatie van technieken en diensten die schadelijk verkeer filtert voordat het je server bereikt. Het zorgt ervoor dat je website bereikbaar blijft, ook als aanvallers je proberen plat te leggen met een stortvloed aan requests.

Hoe herken ik een DDoS-aanval?

Je ziet plotseling veel verkeer uit ongebruikelijke regio's, trage responstijden, timeouts of een volledig onbereikbare site. Logs tonen vaak enorme aantallen requests naar dezelfde endpoint of van hetzelfde botnet.

Biedt mijn hostingprovider standaard DDoS bescherming?

Veel kwaliteitsproviders bieden basisbescherming op netwerkniveau (Layer 3/4) standaard mee. Bescherming op applicatielaag (Layer 7) vereist meestal een aparte dienst zoals Cloudflare, een WAF of een premium hostingpakket.

Wat kost DDoS bescherming?

Basisbescherming via Cloudflare Free of je hoster is vaak gratis. Geavanceerde Layer 7-bescherming met WAF en bot management begint rond de €20-€200 per maand, afhankelijk van verkeer en eisen.

Kan een kleine website ook slachtoffer worden?

Ja, zeker. DDoS-aanvallen zijn goedkoop via booter-diensten en worden ook gericht op kleine sites door concurrenten, afpersers of geautomatiseerde botnets die willekeurig scannen. Elke online aanwezigheid loopt risico.

Tot slot

DDoS bescherming is geen luxe meer, het is basis-hygiëne voor elke site die serieus online wil blijven. De goede nieuws: met een gelaagde aanpak (CDN + WAF + slimme hosting + monitoring) bescherm je je site effectief voor een fractie van de omzet die één uur downtime je zou kosten.

Twijfel je over welke laag past bij jouw setup? Begin met gratis Cloudflare vóór je origin, controleer of je hoster upstream filtering biedt, en bouw van daaruit uit. Een site die online blijft tijdens een aanval wint vertrouwen, bij klanten én bij Google.

Veelgestelde vragen

Klaar om digitaal te groeien?

Wij helpen Nederlandse bedrijven met webtechnologie en SEO-strategieën die écht werken. Neem vrijblijvend contact op.

Neem contact op

Gerelateerde artikelen

webhostingsecurity

Hosting security basics: firewalls en updates uitgelegd

Je website is 24/7 online, en dat betekent helaas ook dat hij 24/7 doelwit is. Hosting security is daarom geen luxe, maar een harde voorwaarde om veilig,…

9 mei 2026·8 min leestijd
sslhttps

SSL certificaten en HTTPS: alles wat je moet weten

Je zag het laatst misschien zelf nog: een site zonder slotje, met de melding "Niet veilig" in de adresbalk. Voor je bezoekers is dat meteen een rode vlag. SSL…

18 mei 2026·8 min leestijd
dnswebhosting

DNS uitgelegd voor developers: zo werkt het onder de motorkap

Je tikt wedecom.net in je browser en binnen milliseconden laadt de site. Tussen dat moment en het eerste pakketje dat jouw computer verlaat, gebeurt er iets…

16 mei 2026·9 min leestijd
Terug naar alle artikelen