---
title: "Hoe we een sneaky DDoS-aanval tegenhielden"
date: 2026-02-18
modified: 2026-02-18
permalink: "https://superspace.nl/blog/hoe-we-een-sneaky-ddos-aanval-tegenhielden/"
author: "Douwe Zijlstra"
excerpt: "Gisteren (dinsdag 17 februari) hadden we een vervelende DDoS aanval op de server ams117. In plaats van een standaard ‘botte’ aanval, werden we geconfronteerd met een heel gericht scenario waar onze standaard beveiliging niet direct een antwoord op had. Inmiddels is alles weer terug naar normaal, en is de server weer volledig operationeel. We bieden […]"
featured_image: "https://superspace.nl/wp-content/uploads/2026/02/sneaky-ddos-1.jpg"
categories:
- name: "Hosting"
url: "/blog/category/hosting.md"
---
# Hoe we een sneaky DDoS-aanval tegenhielden
[Home](/) > [Blogs](/blogs/) > Hoe we een sneaky DDoS-aanval tegenhielden
## Hoe we een sneaky DDoS-aanval tegenhielden
#### Douwe Zijlstra
[ Hosting ](#)
- 18-02-2026
Leestijd: 3 min
Gisteren (dinsdag 17 februari) hadden we een vervelende DDoS aanval op de server ams117. In plaats van een standaard ‘botte’ aanval, werden we geconfronteerd met een heel gericht scenario waar onze standaard beveiliging niet direct een antwoord op had.
Inmiddels is alles weer terug naar normaal, en is de server weer volledig operationeel. We bieden onze excuses aan voor de eventuele overlast die je van dit incident hebt ervaren.
Ik wil jullie graag meenemen in wat er precies gebeurde, hoe we het hebben opgelost en wat we ervan hebben geleerd om dit een volgende keer te voorkomen.
### Waarom de aanval niet snel geblokkeerd kon worden
Normaal gesproken vangt onze netwerkbeveiliging grote pieken in verkeer direct op die normaal voorkomen bij een DDoS aanval. Deze aanval was gewoon heel slim gedaan, door telkens gebruik te maken van andere IP adressen. Hij was klein genoeg om niet weggefilterd te worden door de netwerkbeveiliging, en groot genoeg om de server op z’n knieën te krijgen.
De aanvallers gebruikten een enorme poule aan IP-adressen (uiteindelijk hebben we er 5500 moeten blokkeren). Ze lieten telkens maar een handjevol IP’s tegelijkertijd verbinding maken. Zodra we die blokkeerden, schakelden de aanvallers direct over naar de volgende set. Omdat de IP-adressen uit alle hoeken van de wereld kwamen en nog niet op zwarte lijsten stonden, konden we niet simpelweg een heel land of een bekend botnet blokkeren.
Dit is erg opvallend; aangezien IPv4 adressen relatief schaars zijn. Dit geeft ook aan dat het voor de aanvallers een dure aanval geweest moet zijn.
### Uitputtingsslag van IPv4
De aanval richtte zich op het bezet houden van de netwerkinterface van de server. Per seconde kwamen er talloze requests binnen die de verbinding ‘open’ lieten staan. Hierdoor raakte de capaciteit voor nieuwe IPv4-verbindingen simpelweg op; de server zat qua verbindingen ‘vol’, waardoor legitieme bezoekers er niet meer doorheen kwamen.
Naast IPv4, waren de aanvallers ons ook aan het bestoken vanaf IPv6 adressen. Omdat daar bijna oneindig veel IP-adressen beschikbaar zijn, was handmatig blokkeren onbegonnen werk. We hebben daarom besloten om IPv6 tijdelijk volledig uit te schakelen om de rust te herstellen.
### Hoe we het hebben opgelost
Om de boel weer online te krijgen, hebben we een paar noodzakelijke stappen ondernomen;
1. **Blokkades:** We hebben alle IPv4-adressen die die dag de specifieke aangevallen site bezochten geblokkeerd. Uiteindelijk waren dat ongeveer 5500 unieke IP adressen.
2. **Server-tweaks:** We hebben de serverinstellingen aangepast zodat er meer gelijktijdige connecties open mogen staan en ‘hangende’ verbindingen veel sneller worden verbroken.
3. **Domein-isolatie:** Het doelwit van de aanval is tijdelijk van de server verwijderd. Zelfs daarna bleven de aanvallers het directe IP-adres van de server bestoken (ze kwamen toen uit op een ‘account bestaat niet’ pagina), maar de druk op de webserver en PHP nam hierdoor gelukkig wel af. Inmiddels is het domein via CloudFlare weer online gebracht.
### Hoe nu verder?
Dit incident laat zien dat we ons beter moeten en kunnen voorbereiden op zulke kleine maar gerichte aanvallen. We gaan dit incident verder intern evalueren, en alle ‘lessons learned’ op een rijtje zetten zodat we een volgende keer sneller en effectiever kunnen handelen.
Naast een snellere reactie om van een aanval te herstellen, willen we het liefst zulke situaties voortaan kunnen voorkomen. Ook daar gaan we mee aan de slag om maatregelen te bedenken en implementeren. Hierbij kun je denken aan:
- Het op bredere schaal inzetten van een CDN-netwerk, waarmee kwaadaardig verkeer “on the edge” kan worden geblokkeerd.
- Monitoring op domeinnamen die ineens veel requests in korte tijd krijgen, zodat we snel en gericht actie kunnen ondernemen nog voordat een DDoS-aanval begint.
- Een soort ‘under attack’ modus, waarbij we snel bepaalde configuratie aanpassingen kunnen doorvoeren op serverniveau om normaal verkeer zo veel mogelijk de ruimte geven.
## Andere blogs
[ ](https://superspace.nl/blog/uitnodiging-kom-naar-de-wp-meetup-zomereditie/) Hosting
- 11-05-2026
## [Uitnodiging: kom naar de WP Meetup Zomereditie](https://superspace.nl/blog/uitnodiging-kom-naar-de-wp-meetup-zomereditie/)
[ Lees verder ](https://superspace.nl/blog/uitnodiging-kom-naar-de-wp-meetup-zomereditie/)
[ ](https://superspace.nl/blog/nieuw-zelf-je-geblokkeerde-ip-adres-deblokkeren/) Hosting
- 04-05-2026
## [Nieuw: Zelf je geblokkeerde IP adres deblokkeren](https://superspace.nl/blog/nieuw-zelf-je-geblokkeerde-ip-adres-deblokkeren/)
[ Lees verder ](https://superspace.nl/blog/nieuw-zelf-je-geblokkeerde-ip-adres-deblokkeren/)
[ ](https://superspace.nl/blog/nieuw-domeinsysteem-je-ontvangt-een-mailnotificatie/) Domeinnamen
- 16-03-2026
## [Nieuw domeinsysteem: je ontvangt een mailnotificatie](https://superspace.nl/blog/nieuw-domeinsysteem-je-ontvangt-een-mailnotificatie/)
[ Lees verder ](https://superspace.nl/blog/nieuw-domeinsysteem-je-ontvangt-een-mailnotificatie/)
## Alles om je online business te lanceren
De eerste stap om je online onderneming te beginnen is het registreren van een domeinnaam. Heb je al een domeinnaam of website bij een andere provider? We kunnen deze gratis voor je verhuizen. Heb je nog geen website? Laat AI dan een website of shop voor je creëren.
## [Ik wil een domeinnaam registreren](#)
## [Ik wil mijn website verhuizen](#)
## [Ik wil een website of webshop bouwen](#)
## Support door Superheroes
Vastgelopen met je hosting? Wordt je website aangevallen? Of wil je hulp bij een verhuizing? De Superheroes van Superspace zijn één telefoontje, chat of mail van je verwijderd. We komen direct in actie en staan altijd voor je klaar.
[ Neem contact met ons op ](/contact/)
[](https://superspace.nl/)
Beheer toestemming
Om de beste ervaringen te bieden, gebruiken wij technologieën zoals cookies om informatie over je apparaat op te slaan en/of te raadplegen. Door in te stemmen met deze technologieën kunnen wij gegevens zoals surfgedrag of unieke ID's op deze site verwerken. Als je geen toestemming geeft of uw toestemming intrekt, kan dit een nadelige invloed hebben op bepaalde functies en mogelijkheden.
Functioneel Functioneel Altijd actief De technische opslag of toegang is strikt noodzakelijk voor het legitieme doel het gebruik mogelijk te maken van een specifieke dienst waarom de abonnee of gebruiker uitdrukkelijk heeft gevraagd, of met als enig doel de uitvoering van de transmissie van een communicatie over een elektronisch communicatienetwerk.
Voorkeuren Voorkeuren De technische opslag of toegang is noodzakelijk voor het legitieme doel voorkeuren op te slaan die niet door de abonnee of gebruiker zijn aangevraagd.
Statistieken Statistieken De technische opslag of toegang die uitsluitend voor statistische doeleinden wordt gebruikt. De technische opslag of toegang die uitsluitend wordt gebruikt voor anonieme statistische doeleinden. Zonder dagvaarding, vrijwillige naleving door je Internet Service Provider, of aanvullende gegevens van een derde partij, kan informatie die alleen voor dit doel wordt opgeslagen of opgehaald gewoonlijk niet worden gebruikt om je te identificeren.
Marketing Marketing De technische opslag of toegang is nodig om gebruikersprofielen op te stellen voor het verzenden van reclame, of om de gebruiker op een site of over verschillende sites te volgen voor soortgelijke marketingdoeleinden.
- [Beheer opties](#)
- [Beheer diensten](#)
- [Beheer {vendor\_count} leveranciers](#)
- [Lees meer over deze doeleinden](https://cookiedatabase.org/tcf/purposes/)
Accepteren Weigeren Bekijk voorkeuren Voorkeuren opslaan [Bekijk voorkeuren](#)
- [{title}](#)
- [{title}](#)
- [{title}](#)
Beheer toestemming
[ ](#)
[ ](#)
[ EN ](https://superspace.ae)
[ Mijn account ](https://dashboard.superspace.nl/)
Diensten
[Domein](https://superspace.nl/domein/)
[Hosting](https://superspace.nl/hosting/)
[Verhuisservice](https://superspace.nl/verhuisservice/)
[Samenwerken](https://superspace.nl/samenwerken/)
Hostingoplossingen
[Hosting voor WordPress](https://superspace.nl/hosting/)
[cPanel hosting](https://superspace.nl/cpanel-hosting/)
Pagina's
[Over ons](https://superspace.nl/over-ons/)
[Blogs](https://superspace.nl/blogs/)
[Cases](https://superspace.nl/cases/)
[Partners](https://superspace.nl/partners/)
[Contact](https://superspace.nl/contact/)
Andere pagina's
[Goed idee](https://superspace.nl/goed-idee/)
[SuperStart](https://superspace.nl/wordpress/wordpress-sitebuilder/)
## Chat met ons
Stel je vraag direct op de online chat op werkdagen tussen 9:00 en 16:30 uur.
## Stuur een e-mail
Mail je vraag naar ons en je krijg binnen enkele uren een antwoord.
## Bel ons
Je kunt ons op werkdagen tussen 9:00 en 16:30 bereiken op 088-0006666
[ Menu sluiten ](#elementor-action%3Aaction%3Dpopup%3Aclose%26settings%3DeyJkb19ub3Rfc2hvd19hZ2FpbiI6IiJ9)