DDoS-aanvallen

Technische verschijningsvormen en gelaagdheid van DDoS

Volumetrische aanvallen zijn gericht op het uitputten van beschikbare bandbreedte of op het verzadigen van upstream-capaciteit, waarbij het netwerkpad naar de doelomgeving simpelweg “volloopt”. Dit type aanval laat zich vaak herkennen aan grote datavolumes en aan patronen die niet passen bij normaal gebruikersgedrag, zoals plotselinge stromen UDP-verkeer of ongebruikelijk verkeer naar specifieke poorten. De technische impact ontstaat niet alleen bij de doelgroep zelf, maar kan zich manifesteren bij transitproviders, internet exchanges of gedeelde infrastructuurcomponenten. In omgevingen met gedeelde uplinks of gedeelde DDoS-scrubbing kan bovendien collateral damage optreden, waarbij ook andere diensten in dezelfde omgeving hinder ondervinden. Juist die ketenwerking maakt het voor incidentanalyse van belang om onderscheid te maken tussen de plaats waar het verkeer wordt waargenomen en de plaats waar de daadwerkelijke beschikbaarheidsdegradatie ontstaat.

Protocol-aanvallen richten zich op zwakheden of limieten in netwerk- en transportprotocollen, zoals het uitputten van stateful resources in firewalls, load balancers of edge-routers. Hierbij kan relatief weinig bandbreedte toch tot aanzienlijke verstoring leiden, omdat het gaat om het forceren van resource-intensieve verwerking per pakket of per sessie. Voorbeelden zijn SYN-floodvarianten, fragmentatiepatronen of manipulatie van handshake-mechanismen, waarbij het doel is om sessietabellen te vullen, timeouts te provoceren, of hardware-acceleratie buiten werking te stellen. Het forensisch beeld is doorgaans complexer dan bij louter volumetrische aanvallen, omdat de datastroom minder “grof” is en omdat legitiem verkeer op pakketniveau soms sterk lijkt op malafide verkeer. In de bewijsvoering wordt daarom vaak zwaar geleund op specifieke telemetry: netflow, conntrack-statistieken, load balancer-metrics en time-series gegevens.

Applicatielaag-aanvallen (Layer 7) zijn ontworpen om webservers, API’s en backend-diensten te laten bezwijken door het simuleren van ogenschijnlijk valide verzoeken die, in combinatie, onevenredig veel serverresources verbruiken. Denk aan intensieve zoekopdrachten, het herhaald opvragen van dynamische pagina’s, het uitlokken van complexe databasequeries of het misbruiken van endpoints die grote objecten genereren. De aanvaller stuurt dan niet noodzakelijkerwijs enorme bytes, maar creëert “werk” aan de serverzijde. Het onderscheid tussen piekbelasting door marketingcampagnes en kwaadwillige belasting kan in dit domein dun zijn, waardoor interpretatie van logs, requestpatronen en user-agent-variatie cruciaal is. Bovendien kan een moderne aanval hybride zijn: eerst volumetrisch om monitoring en mitigatie te overbelasten, vervolgens applicatielaag gericht op de kernfunctionaliteit. Deze gelaagdheid heeft directe consequenties voor attributie, schadebegroting en de beoordeling van opzet en voorzienbaarheid.

Botnets, reflectie en amplificatie in de praktijk

Veel DDoS-campagnes maken gebruik van botnets: netwerken van gecompromitteerde apparaten, variërend van IoT-devices en routers tot gehijackte servers. De distributie van bronnen over vele landen en netwerken maakt blokkeren en filteren lastiger, terwijl de heterogeniteit van apparaten zorgt voor diverse traffic signatures. Botnet-aansturing kan plaatsvinden via command-and-control-infrastructuur, maar ook via meer opportunistische methoden zoals hardcoded lijsten, peer-to-peer netwerken of misbruik van publieke platforms. In technische analyses is het daarom relevant om te onderscheiden tussen het uitvoerende bronverkeer (de bots) en de regie- of aanstuurlaag (C2), omdat die lagen verschillende bewijsmogelijkheden bieden. Verkeersobservaties wijzen vaak vooral naar de bots, terwijl bewijs richting de aansturing doorgaans uit andere bronnen moet komen, zoals administratie van infrastructuur, domeinregistraties, serverimages, chatlogs of betalingsstromen.

Reflectie- en amplificatietechnieken vergroten de aanvalskracht door misbruik van verkeerd geconfigureerde servers die responsverkeer naar het doel sturen. Het klassieke patroon is dat een relatief klein verzoek wordt verstuurd met een gespoofd bronadres (het adres van het slachtoffer), waarna een veel grotere respons naar het slachtoffer wordt gereflecteerd. Diensten als DNS, NTP, memcached en bepaalde directory- of discovery-protocollen zijn historisch als amplificator misbruikt wanneer open resolvers of open diensten onbeveiligd op het internet staan. Deze techniek compliceert attributie, omdat het verkeer ogenschijnlijk afkomstig is van legitieme servers met een reputatie als “normale” infrastructuur. In dossiers ontstaat dan geregeld discussie over de vraag of het waargenomen bron-IP daadwerkelijk iets zegt over daderschap, of slechts over misbruik door een derde.

De inzet van reflectoren en amplifiers raakt bovendien aan zorgplichten en verantwoordelijkheidsvragen bij beheerders van infrastructuur. Waar een reflector aantoonbaar verkeerd geconfigureerd is, kan discussie ontstaan over nalatigheid, patchbeleid en responstijden na melding, zeker indien herhaald misbruik optreedt. Tegelijkertijd blijft het primaire verwijt in een strafrechtelijke context doorgaans gericht op de actor die de spoofing en orchestratie initieert, niet op de onwetende eigenaar van een misbruikte server. Voor bewijs en duiding is het daarom essentieel om zorgvuldig te beschrijven welke rollen bestaan: de initiator, de facilitator, de uitvoerende bots, de reflectoren, en de partijen die mitigatie of hosting leveren. Een precieze rolafbakening voorkomt dat technische causaliteit wordt verward met juridische toerekenbaarheid.

Impact, schade en keteneffecten

De impact van een DDoS-aanval manifesteert zich vaak als downtime of ernstige performance degradation, maar de economische en operationele gevolgen reiken doorgaans verder. In e-commerce kan een uur onbereikbaarheid directe omzetderving opleveren en tot afgebroken winkelmandjes leiden, terwijl in zakelijke omgevingen verstoring van API-koppelingen ketenprocessen stillegt, zoals voorraadbeheer, logistieke tracking of betalingsverwerking. In sectoren met maatschappelijke kritieke processen – zorg, mobiliteit, energie of publieke dienstverlening – kan de impact zich vertalen in veiligheidsrisico’s, escalatie in klantcontactcentra en verlies van vertrouwen in digitale kanalen. Een strakke schadeanalyse vraagt daarom om onderscheid tussen directe schade (mitigatiekosten, hersteluren, extra capaciteit) en indirecte schade (reputatie, churn, boetes, contractuele claims). Zonder dat onderscheid ontstaat het risico dat schadeposten dubbel worden geteld of dat veronderstelde schade niet wordt onderbouwd met bedrijfsdata.

Contractueel kan een DDoS-incident doorwerken via service level agreements, uptime-garanties en aansprakelijkheidsclausules, waarbij vaak discussie ontstaat over overmacht, inspanningsverplichtingen en de redelijkheid van mitigatiemaatregelen. In outsourcingrelaties is relevant hoe verantwoordelijkheden zijn verdeeld tussen klant, hostingprovider, managed security provider en eventuele cloudleveranciers. Indien mitigatievoorzieningen zijn overeengekomen – bijvoorbeeld scrubbing, rate limiting, WAF-configuraties of redundante routing – kan de vraag opkomen of die voorzieningen adequaat waren ingericht en onderhouden. Daarnaast kan een incident leiden tot discussie over kennis- en informatieplichten: wanneer is welke partij geïnformeerd, welke besluiten zijn genomen, en was escalatie conform runbooks en incidentprocedures. De technische tijdlijn wordt dan een juridisch relevant document, waarin minuut-tot-minuut gebeurtenissen kunnen bepalen of een partij aan haar verplichtingen heeft voldaan.

Reputatieschade heeft een eigen dynamiek en wordt vaak versneld door de combinatie van zichtbare onbereikbaarheid en onduidelijke communicatie. Externe stakeholders kunnen de verstoring interpreteren als een beveiligingsfalen in brede zin, ook wanneer geen gegevens zijn buitgemaakt. In de praktijk is daarom niet alleen de technische response, maar ook de governance rond incidentcommunicatie relevant: consistente messaging, vermijding van speculatie, en het bieden van realistische herstelprognoses zonder ongefundeerde zekerheid. Waar meldplichten bestaan, is timing eveneens kritisch: te laat melden kan leiden tot toezichtvragen, terwijl te vroeg melden zonder feitenbasis onnodige onrust kan veroorzaken. Een evenwichtige benadering vraagt om feitelijke onderbouwing, heldere afbakening van wat bekend is en wat nog onderzocht wordt, en een consistente terminologie die technische begrippen juridisch zorgvuldig vertaalt.

Motieven en context: afpersing, afleiding en drukmiddelen

DDoS-aanvallen worden regelmatig ingezet als afpersingsinstrument, waarbij dreiging met aanhoudende verstoring wordt gekoppeld aan een betalingsverzoek. De modus operandi varieert van een “proefaanval” om geloofwaardigheid op te bouwen tot onmiddellijke grootschalige verstoring, soms vergezeld van communicatie via e-mail, chatplatforms of zelfs publieke posts. Het juridische en strategische spanningsveld zit vaak in de vraag hoe te handelen richting de afperser: betalen kan incidenten tijdelijk stoppen, maar kan eveneens herhaling uitlokken of escaleren. Tegelijkertijd kan het uitblijven van betaling leiden tot langere verstoring en grotere schade. In dit soort situaties wordt het feitencomplex al snel breder dan enkel beschikbaarheid: dreigcommunicatie, betalingsverkeer, en mogelijke betrokkenheid van tussenpersonen maken deel uit van het dossier.

Een DDoS-aanval kan ook fungeren als afleidingsmanoeuvre, bedoeld om monitoringteams, SOC-capaciteit en incidentresponders te overbelasten terwijl in parallel een andere aanvalslijn wordt uitgevoerd, zoals credential stuffing, data-exfiltratie of laterale beweging in een netwerk. Het risico is dat alle aandacht gaat naar het “luidruchtige” beschikbaarheidsincident, terwijl subtielere signalen van datadiefstal onder de radar blijven. In incidentonderzoek is het daarom van belang om correlaties te onderzoeken tussen de DDoS-tijdlijn en andere security-events, zoals verdachte aanmeldpogingen, wijzigingen in IAM-instellingen, ongebruikelijke datastromen of afwijkende DNS-queries. De aanwezigheid van een DDoS is niet automatisch bewijs van een parallelle aanval, maar de mogelijkheid is reëel genoeg om structureel als hypothese in het onderzoek te worden opgenomen.

Daarnaast kunnen DDoS-aanvallen worden ingezet als drukmiddel in conflictsituaties, waaronder concurrentiegeschillen, disgruntled customers, activistische campagnes of interne escalaties na arbeidsconflicten. In die context kan het motief diffuus zijn en kan de daderkring bestaan uit personen met beperkte technische vaardigheden die een aanval “inkopen” via een dienst. Het dossier krijgt dan vaak een hybride karakter: aan de ene kant technische sporen (logs, netflow, aanvalspatronen), aan de andere kant gedrags- en communicatie-indicatoren (dreigementen, claims, timing rondom zakelijke conflicten). Juist die combinatie bepaalt hoe opzet, voorbedachte raad en betrokkenheid worden beoordeeld. Een contextanalyse die losstaat van technische feiten kan tot tunnelvisie leiden, terwijl uitsluitend technische analyse zonder context belangrijke motivaties en dadersignalen kan missen.

Juridische duiding: verstoring van geautomatiseerde werken en opzetvraagstukken

Juridisch draait het bij DDoS vaak om het opzettelijk en wederrechtelijk bewerkstelligen van een verstoring of onbruikbaarheid van geautomatiseerde werken of netwerken. De kwalificatie hangt in de praktijk sterk samen met de aard, ernst en duur van de verstoring, alsmede met de bewijsbaarheid van opzet en de concrete rol van de verdachte. Discussie ontstaat regelmatig over de vraag wanneer sprake is van “onbruikbaar maken” versus “slechts” vertraging of hinder, en of een tijdelijke degradatie voldoende is om de ernstgrens te passeren. Daarbij speelt ook de schaal van het doel: een verstoring van een kleine website kan feitelijk vergelijkbaar voelen met een verstoring van een kritieke dienst, maar de maatschappelijke impact en schadeomvang kunnen de weging beïnvloeden. Een juridisch houdbare duiding vergt daarom een feitelijke beschrijving die meetbaar is: response times, error rates, uptime-statistieken, klantimpact en herstelhandelingen.

De opzetvraag krijgt een eigen accent bij het gebruik van zogenoemde “stresser” of “booter”-diensten, waarbij een gebruiker met enkele handelingen een aanval kan initiëren zonder diepgaande technische kennis. In dossiers wordt dan betoogd dat slechts een “klik” onvoldoende is om vol opzet te onderbouwen, zeker indien de gebruiker stelt een test- of demonstratiedoel te hebben gehad. Tegenover die stelling staat dat de aard van dergelijke diensten doorgaans evident gericht is op verstoring, dat marketing en functionaliteit vaak spreken over “downen” van targets, en dat de gebruiker bij het invullen van een doeladres en aanvalsduren een bewuste keuze maakt. De juridische beoordeling kan mede afhangen van de mate waarin kennis bestond over de omvang van de aanval, de te verwachten effecten en de feitelijke impact. Ook omstandigheden zoals herhaling, timing (bijvoorbeeld tijdens piekuren) en communicatie rondom het incident kunnen indicatief zijn voor de bedoeling achter de handeling.

Betrokkenheid is bovendien breder dan het zelf “drukken op de knop”. Facilitering kan bestaan uit het aanbieden van de dienst, het beheren van infrastructuur, het ontwikkelen van software, het leveren van bulletproof hosting, het werven van klanten of het afhandelen van betalingen. De bewijsconstructie kan dan verschuiven van het aantonen van één specifieke aanval naar het aantonen van structurele facilitering van verstoringshandelingen. Daarbij komt de vraag op of sprake is van een duurzaam bedrijfsmodel, een organisatiegraad, of een rol die een wezenlijke bijdrage levert aan het plegen van verstoringen. In die context worden technische gegevens (panel-logs, API-keys, serverimages) vaak gecombineerd met financiële gegevens en communicatie, om de omvang van de facilitering en de mate van verwijtbaarheid te onderbouwen.

Bewijsbeeld en technische bronnen in DDoS-dossiers

Bewijsvoering bij DDoS-aanvallen steunt in de praktijk op een mozaïek van technische bronnen die elk slechts een deel van het incident zichtbaar maken. Verkeersanalyses kunnen aantonen dat een doelomgeving is overspoeld en op welk moment de verstoring begon, escaleerde en afnam, maar zeggen niet automatisch iets over de actor achter de aanval. Netflow-gegevens, packet captures, firewall- en load balancer-logs, WAF-telemetrie en hostmetrics vormen samen een tijdlijn waarmee de technische impact kan worden gekwantificeerd in bandbreedte, packet rates, sessiebelasting, foutcodes, latency en resource exhaustion. De kwaliteit van die tijdlijn staat of valt met retentie, loggingniveau en de vraag of tijdens het incident mitigatie is ingeschakeld die het verkeer al vóór de doelomgeving heeft gefilterd. Wanneer scrubbing of CDN-proxies actief zijn, kan het zicht op ruwe brongegevens beperkt zijn, terwijl juist die ruwe gegevens in strafrechtelijke trajecten relevant worden geacht om aanvalspatronen, spoofing-indicatoren en bronvariatie te duiden.

Aanvragen bij hostingproviders en netwerkoperators leveren vaak aanvullende stukken op, zoals abuse-meldingen, IP-allocatiegegevens, routerlogs of blackhole-routingacties. Deze stukken zijn waardevol voor de reconstructie van de keten, maar zijn ook gevoelig voor interpretatiefouten, omdat terminologie en loggingformaten per provider verschillen en omdat sommige maatregelen geautomatiseerd worden getriggerd. Een blackhole kan bijvoorbeeld zijn ingezet om het netwerk te beschermen, maar dat kan voor de buitenwereld lijken op “downtime door eigen schuld” in plaats van “downtime door aanval”, wat in civiele trajecten en bij schadebegroting tot debat leidt. Ook bestaat het risico dat providerdata slechts een subset betreft, bijvoorbeeld alleen edge-logs of sampling, waardoor conclusies over volume en herkomst altijd moeten worden gepresenteerd met een expliciete bandbreedte aan onzekerheid. Een juridisch robuuste analyse maakt daarom inzichtelijk welke bronnen aanwezig zijn, welke hiaten bestaan, en welke aannames noodzakelijk zijn om van ruwe data tot een samenhangende conclusie te komen.

Betalingssporen vormen een tweede pijler in het bewijsbeeld, met name wanneer sprake is van ingekochte attack-services of van exploitatie van booter-infrastructuur. Transacties via betaalproviders, cryptowallets, vouchersystemen of platforms met in-app betalingen kunnen koppelingen leggen tussen accounts, aanvalspakketten en tijdstippen. De bewijskracht hangt echter af van context: een betaling kan wijzen op afname van een dienst, maar niet zonder meer op gebruik tegen een specifiek doel, zeker wanneer de dienst panel-gebaseerd is en meerdere gebruikers op hetzelfde account kunnen opereren. Bovendien kan een betaling ook betrekking hebben op hosting, domeinregistratie of advertentieruimte, waardoor het onderscheid tussen legitieme infrastructuurkosten en malafide operationele kosten scherp moet worden uitgewerkt. Waar financiële gegevens worden gekoppeld aan technische logs, is het cruciaal dat tijdzones, timestamps, rounding en logrotatie zorgvuldig worden genormaliseerd, zodat causale lijnen niet worden geconstrueerd op basis van schijncorrelaties.

Attributie en de valkuil van schijnbare bronherkomst

Attributie bij DDoS blijft structureel complex omdat de zichtbare bron vaak niet samenvalt met de aansturing. Bij botnets zijn bronadressen veelal van gecompromitteerde apparaten, waardoor het verkeer technisch “echt” van die apparaten afkomstig is, maar die apparaten slechts uitvoerders zijn zonder daderbewustzijn. Bij reflectie- en amplificatietechnieken is de situatie nog ambiguër: het waargenomen verkeer komt dan van ogenschijnlijk legitieme servers die als reflector zijn misbruikt, terwijl de initiërende verzoeken – vaak met gespoofde bronadressen – niet direct zichtbaar zijn bij het slachtoffer. Dit leidt in dossiers regelmatig tot onjuiste intuïties, zoals de veronderstelling dat de eigenaar van een reflector per definitie betrokken is, of dat een specifiek land van herkomst iets zegt over de dader. Een verdedigbare attributieanalyse maakt daarom expliciet dat bron-IP in veel scenario’s slechts een indicator is van “waar het verkeer vandaan kwam”, niet van “wie het aanstuurde”.

Een verdere complicatie ontstaat door het gebruik van infrastructuur die door meerdere partijen wordt gedeeld, zoals VPS-providers, VPN-exitnodes, proxy-residentiële netwerken of gehackte cloudaccounts. In die gevallen kan één IP-adres gedurende korte tijd door verschillende actoren worden gebruikt, of kunnen logs van de provider onvoldoende granulariteit hebben om activiteiten te scheiden. Zelfs bij panel-logs van attack-services kan twijfel ontstaan wanneer credential sharing plaatsvindt, wanneer API-keys worden hergebruikt, of wanneer accounts zijn overgenomen door derden. Voor een juridisch sluitende redenering is daarom een keten van bevestiging wenselijk: niet één enkele indicator, maar een set van elkaar versterkende aanwijzingen, zoals consistentie tussen login-tijden, gebruikte fingerprints, geografie, device-kenmerken, en parallelle communicatie of betalingen. Ontbreekt zo’n keten, dan moet een attributieconclusie doorgaans worden beperkt tot waarschijnlijkheden en scenario’s, in plaats van stellige toeschrijvingen.

Het onderscheid tussen technische waarschijnlijkheid en juridische zekerheid is in dit domein bijzonder scherp. Een incident response-team kan op basis van heuristieken en ervaring aannemen dat sprake is van een bekend botnet of van een terugkerende booter-campagne, maar die aannames zijn niet altijd zonder meer geschikt als bewijs in een procedure. Herleidbaarheid van methodologie, reproduceerbaarheid van analyses en transparantie over meetfouten bepalen in hoge mate de waarde van technische conclusies. Daarbij komt dat tegenpartijen vaak terecht vragen naar alternatieve verklaringen: kon het verkeer een flash crowd zijn, was er sprake van een foutieve configuratie, of is de downtime veroorzaakt door mitigatie die te agressief werd ingesteld? Attributie in een dossier dat stand moet houden onder tegenspraak vraagt daarom om een expliciete afbakening van wat met zekerheid uit data volgt, wat slechts aannemelijk is, en welke elementen onbewezen blijven.

Bronverkeer versus command-and-control: analytische scheiding

Een zorgvuldige beoordeling van DDoS-incidenten vereist een duidelijke scheiding tussen bronverkeer en command-and-control, omdat deze lagen andere eigenschappen en bewijsmiddelen kennen. Bronverkeer is het zichtbare verkeer dat de dienst belast: IP-adressen, protocollen, requestpatronen, headerwaarden, payloadstructuren en timing. Command-and-control betreft de aansturing: waar wordt de aanval geactiveerd, welke interface is gebruikt, welke panel-actie is uitgevoerd, en welke infrastructuur coördineert de bots of reflectieverzoeken. In veel dossiers is bronverkeer ruimschoots beschikbaar terwijl C2-sporen ontbreken, bijvoorbeeld doordat aansturing via externe services gebeurt, doordat servers snel worden afgebroken, of doordat logs niet worden veiliggesteld. In zo’n situatie is het risico groot dat bronverkeer impliciet wordt gebruikt als proxy voor aansturing, terwijl dat technisch niet gerechtvaardigd is.

C2-sporen kunnen in verschillende vormen voorkomen: panel-logs van booter-diensten, API-call logs, serverprocessen die command queues bijhouden, DNS-infrastructuur die dynamisch endpoints wisselt, of messagingkanalen waarin aanvalsinstructies worden gedeeld. Waar dergelijke sporen wel beschikbaar zijn, is het essentieel om ze te correleren met de feitelijke aanvalstijdlijn en met observed impact metrics. Een panel-actie met “start attack” op een bepaald tijdstip is slechts betekenisvol wanneer het samenvalt met het begin van de verstoring en wanneer parameters zoals doeladres, poort en methode overeenkomen met het waargenomen verkeer. Afwijkingen kunnen wijzen op loggingfouten, time drift, of op het bestaan van meerdere gelijktijdige aanvallen door verschillende actoren. Een analytische aanpak die deze correlatie expliciet maakt, versterkt de robuustheid van de conclusie en beperkt de ruimte voor twijfel over causaliteit.

Daarnaast verdient aandacht dat DDoS-campagnes soms “multi-stage” zijn: een eerste fase kan een decoy zijn, gevolgd door een tweede fase met andere methoden of andere doelen, bijvoorbeeld tegen statuspagina’s, DNS-providers of authentication endpoints. In dat scenario kan C2 op één punt zichtbaar zijn, terwijl bronverkeer elders wordt gegenereerd of via reflectoren loopt. De scheiding tussen bron en aansturing helpt om zulke scenario’s te modelleren zonder in inconsistenties te vervallen. Juridisch is dit relevant omdat de rol van een verdachte soms alleen betrekking heeft op een deel van de keten, bijvoorbeeld het beheren van een panel of het leveren van infrastructuur, terwijl de feitelijke uitvoering door derden plaatsvindt. Een dossier dat bron en C2 door elkaar haalt, loopt het risico dat roltoerekening onzuiver wordt, wat direct raakt aan opzet, medeplegen en facilitering.

Betrouwbaarheid, volledigheid en interpretatie van logs

Logs worden vaak behandeld als objectieve weergaven van feiten, maar in werkelijkheid zijn logs producten van configuratiekeuzes, sampling, rotatie, normalisatie en filtering. Tijdens een DDoS-incident worden loggingvolumes soms zó groot dat systemen logregels droppen, dat buffers vollopen, of dat only-summary metrics worden bijgehouden om performance te behouden. Bovendien kunnen mitigatievoorzieningen verkeer al aan de rand blokkeren, waardoor de doelomgeving slechts een deel van het aanvalspatroon ziet, terwijl een upstream-provider weer een ander deel ziet. In incidentonderzoek betekent dit dat “afwezigheid” van bepaalde logregels niet zonder meer bewijs is van “afwezigheid” van verkeer. Een juridisch houdbare analyse beschrijft daarom het logginglandschap: welke componenten loggen wat, met welke granulariteit, met welke retentie, en onder welke omstandigheden treden drop-offs op.

Time synchronization is een onderschatte bron van fouten. Wanneer NTP niet consistent is, of wanneer componenten in verschillende tijdzones loggen zonder uniforme normalisatie, kunnen gebeurtenissen verkeerd worden geordend. Een login op een panel kan dan ogenschijnlijk ná een aanval plaatsvinden, of een mitigatieactie kan lijken te zijn genomen vóórdat de aanval begon. Dergelijke schijntegenstrijdigheden worden in procedures vaak uitvergroot en kunnen de geloofwaardigheid van het gehele dossier ondermijnen. Daarom is het belangrijk dat een tijdlijn wordt opgebouwd met expliciete vermelding van timebases, offsets en eventuele drift, en dat waar mogelijk cross-checks worden uitgevoerd met externe bronnen zoals provider-events, monitoringdashboards of ticketingsystemen. Waar dergelijke checks niet mogelijk zijn, verdient het aanbeveling om conclusies conservatief te formuleren en de onzekerheidsmarge zichtbaar te maken.

Interpretatie van logs vraagt tevens om begrip van normal operational behavior. Applicatielaag-aanvallen kunnen lijken op legitieme traffic spikes, vooral wanneer user-agents variëren, IP-adressen wereldwijd verspreid zijn en requests syntactisch geldig zijn. Het onderscheid ligt dan in subtiele factoren: ongebruikelijke requestfrequenties per sessie, abnormale cache-miss ratios, repetitieve patterns naar resource-intensieve endpoints, of afwijkende headercombinaties. Tegelijkertijd kunnen legitieme pieken door campagnes of nieuwsgebeurtenissen eveneens zulke kenmerken vertonen. Een robuuste duiding vereist daarom dat baseline-data wordt gebruikt: historische trafficprofielen, normale error rates, en bekende piekpatronen. Zonder baseline is het risico groot dat technische conclusies vooral steunen op aannames, wat in een juridisch kader kwetsbaar is.

Alternatieve scenario’s: accountmisbruik, testdiensten en gebrek aan inzicht

In DDoS-dossiers is het regelmatig noodzakelijk om alternatieve scenario’s expliciet te toetsen, juist omdat de technische handeling relatief eenvoudig kan zijn en omdat infrastructuur en accounts vaak door meerdere personen kunnen worden benaderd. Accountmisbruik is een terugkerend thema: credentials kunnen zijn gedeeld, gelekt, geraden, of verkregen via credential stuffing, waarna een derde de dienst gebruikt zonder dat de account-eigenaar direct betrokken is. Wanneer een panel-account een aanval heeft gestart, volgt daaruit niet automatisch dat de geregistreerde persoon de actor was, zeker niet als MFA ontbreekt, als IP-logging beperkt is, of als loginpatronen niet eenduidig zijn. Een serieuze scenarioanalyse kijkt dan naar signalen zoals afwijkende loginlocaties, device-fingerprints, plotselinge wijziging van wachtwoorden of e-mailadressen, en de aanwezigheid van eerdere compromise-indicatoren in andere accounts van dezelfde persoon.

Een tweede alternatief scenario betreft het gebruik van openbare testdiensten of “stress tests” zonder inzicht in de reikwijdte en gevolgen. In bepaalde omgevingen bestaan load testing tools en performance testplatforms die bedoeld zijn voor legitieme schaaltesten, maar die bij foutieve configuratie of zonder adequate toestemming verstoringen kunnen veroorzaken. Daarnaast bestaan er diensten die zich als “stresser” presenteren met een schijn van legitimiteit, terwijl de feitelijke marketing en functionaliteit gericht is op het neerhalen van externe doelen. De juridische duiding van opzet kan in zulke gevallen mede afhangen van de mate waarin context en waarschuwingen aanwezig waren, welke termen door de dienst werden gebruikt, en of de gebruiker redelijke redenen had om te veronderstellen dat het om een eigen omgeving ging. Dat neemt niet weg dat het richten van verkeer op een derde zonder toestemming in de kern problematisch is, maar de precieze verwijtbaarheid en kwalificatie kunnen variëren op basis van kennis, bedoeling en voorzienbaarheid.

Ook misconfiguratie en menselijke fouten moeten als hypothese worden meegenomen, met name wanneer de waargenomen verstoring niet direct samenvalt met duidelijke aanvalssignaturen. Een verkeerd ingestelde rate limiter, een WAF-regel die legitieme requests blokkeert, of een autoscaling-constraint die tijdens piekbelasting faalt, kan dezelfde uitkomst geven als een DDoS: onbereikbaarheid en foutcodes. Dit wordt extra relevant wanneer een organisatie tijdens het incident noodmaatregelen neemt, zoals het uitschakelen van bepaalde endpoints of het blokkeren van regio’s, waardoor de verstoring deels self-inflicted kan worden. In geschillen kan de tegenpartij dat aanvoeren om causaliteit te betwisten of schade te reduceren. Een gedegen dossier maakt daarom onderscheid tussen primaire oorzaak (aanval of interne fout), secundaire oorzaken (mitigatie-artefacten), en de bijdragen van elk aan de feitelijke downtime.

Toerekenbaarheid, rolafbakening en weging van verwijtbaarheid

Toerekenbaarheid bij DDoS vraagt om een gedifferentieerde rolbenadering, omdat de keten van een aanval uit meerdere schakels bestaat en omdat betrokkenheid vele vormen kan aannemen. Initiatie ziet op het daadwerkelijk starten of aansturen van de aanval, bijvoorbeeld via een panel, script of API-call. Facilitering ziet op het beschikbaar stellen van middelen, zoals botnetinfrastructuur, reflectiecapaciteit, hosting, software, instructies of klantwerving. Ondersteuning kan bestaan uit het innen van betalingen, het leveren van accounts, het onderhouden van servers of het bieden van technische support aan afnemers. Elk van deze rollen heeft een eigen bewijsprofiel: initiatie is vaak te koppelen aan specifieke timestamps en doelparameters, terwijl facilitering eerder blijkt uit structurele patronen, herhaling, administratieve sporen en het bestaan van een duurzaam verdienmodel.

De weging van verwijtbaarheid wordt mede beïnvloed door de vraag of sprake is van structurele facilitering en van bewustzijn van het misbruikdoel. Wanneer een dienst primair wordt aangeboden voor het “offline halen” van doelen, kan het argument dat sprake is van een neutrale tool minder overtuigend zijn, zeker indien marketing, UI-terminologie of supportcommunicatie expliciet op verstoring wijst. Anders ligt dat bij generieke infrastructuurdiensten, waarbij misbruik door klanten voorkomt zonder dat de provider dat beoogt, en waarbij notice-and-takedown processen een rol spelen. In die context verschuift de discussie vaak naar compliance met interne policies, responsiviteit op abuse-meldingen en de vraag of adequate technische en organisatorische maatregelen zijn getroffen om misbruik te beperken. Voor juridische duiding is het dan belangrijk om feiten te onderscheiden van normatieve kwalificaties: wat is concreet gedaan, wat is nagelaten, en welke kennis was op welk moment aanwezig.

Ten slotte is proportionaliteit relevant: de omvang en gevolgen van de verstoring, de duur, de keuze van doelwitten en de aanwezigheid van herhaling kunnen de ernstkleur van het dossier bepalen. Een kortdurende verstoring met beperkte impact vergt een andere benadering dan een langdurige aanval op kritieke dienstverlening met grote maatschappelijke effecten. Ook de mate van professionaliteit – bijvoorbeeld het inzetten van hybride aanvalsvormen, het wisselen van vectoren, en het ontwijken van mitigatie – kan indicatief zijn voor organisatiegraad en opzet. Waar een verdachte slechts een beperkt onderdeel van de keten beheerst, moet de causaliteitslijn naar de verstoring zorgvuldig worden opgebouwd om te voorkomen dat verantwoordelijkheid wordt verondersteld op basis van nabijheid in plaats van bijdrage. Een dossier dat deze rolafbakening scherp maakt, creëert ruimte voor een genuanceerde beoordeling van schuld, opzet en strafwaardigheid, zonder technische complexiteit te verwarren met juridische zekerheid.