DDoS Testing
Waarom DDoS-bescherming testen — en niet alleen aanschaffen?
Organisaties investeren in DDoS-mitigatie: scrubbing-diensten, CDN-configuraties, rate limiting, fail-over-architectuur. Maar hoe weet u dat al deze lagen correct geconfigureerd zijn en samenwerken onder werkelijke aanvalsdruk?
Wat ongetest blijft, is onzeker:
- Of uw CDN- en scrubbing-provider de aanvalsvolumes aankunnen die u werkelijk bedreigen
- Of uw firewall-regels bij een SYN flood uitvallen of standhouden
- Of uw fail-over-procedures tijdig en correct worden uitgevoerd
- Of uw team aanvallen tijdig detecteert en de juiste escalatiestappen volgt
- Of uw applicatielaag bestand is tegen slowloris- en HTTP-flood-aanvallen
- Of uw kritieke API-endpoints specifiek kwetsbaar zijn voor gerichte applicatielaagaanvallen
Mitigatie-software die nooit onder druk is gezet, biedt papieren zekerheid. Een gecontroleerde DDoS-test biedt aantoonbare zekerheid.
Wat DEFION DDoS Testing u concreet oplevert
Onze specialisten simuleren realistische aanvalsscenario's afgestemd op uw dreigingsprofiel en architectuur:
✔ Volumetrische aanvallen — UDP floods, ICMP storms, DNS amplification: test of uw bandbreedte en scrubbing-capaciteit standhoudt
✔ Protocol-gerichte aanvallen — TCP SYN floods, fragmented packet attacks, ACK floods: validatie van stateful inspection en firewall-gedrag
✔ Applicatielaag-aanvallen (Layer 7) — HTTP/HTTPS floods, slowloris, cache-busting: test van WAF, rate limiting en backend-capaciteit
✔ Multi-vector aanvallen — Gecombineerde aanvalstypen simultaan, zoals een echte gerichte DDoS-aanval werkt
✔ Mitigatie-validatie — Bevestiging dat uw CDN, scrubbing en anti-DDoS-services correct reageren
✔ Detectie- en responstest — Meting van time-to-detect en time-to-respond bij uw team en procedures
✔ Impact- en degradatie-analyse — Hoe snel verslechteren responstijden, welke drempel is kritiek?
✔ Concrete aanbevelingen — Gerichte verbetermaatregelen per gevonden zwakte
Waarom DEFION - en niet uw CDN-provider zelf testen?
Veel organisaties vragen hun CDN- of scrubbing-provider om de DDoS-bescherming te testen. Dat heeft een fundamenteel probleem: de leverancier test of zijn eigen product werkt — niet of uw complete verdediging het doet.
DEFION is onafhankelijk. Wij hebben geen belang bij de uitkomst — behalve dat u daadwerkelijk beter beschermd bent. Wij testen de gehele verdedigingsketen: leverancier, configuratie, failover, applicatielaag én uw eigen team.
Voortgekomen uit twintig jaar fieldwork
DEFION is ontstaan uit Computest Security en Incide. Onze specialisten hebben niet alleen DDoS-tests uitgevoerd — zij hebben ook DDoS-incidenten afgehandeld en weten precies wat er in werkelijkheid misgaat.
De drie niveaus van DDoS-weerbaarheid die wij testen
Technische laag — uw infrastructuur
Bandbreedte, scrubbing-capaciteit, firewall-gedrag, CDN-configuratie, DNS-weerbaarheid. Wij testen of uw technische verdediging het doet wat de leverancier belooft.
Applicatielaag — uw diensten
Webapplicaties en API's zijn vaak het zwakste punt in DDoS-verdediging. Layer 7-aanvallen omzeilen volumetrische mitigatie en richten zich op specifieke endpoints. Wij testen welke endpoints kwetsbaar zijn en hoe uw WAF en rate limiting presteren.
Operationele laag — uw team en processen
Een DDoS-aanval is ook een operationeel incident. Detecteert uw NOC of SOC de aanval tijdig? Worden de juiste procedures gevolgd? Wie communiceert intern en extern? Wij evalueren uw operationele respons en identificeren verbeterpunten.
Voor organisaties die aanvallers liever te snel af zijn
Voor welke organisaties is DDoS Testing essentieel?
DDoS-tests zijn onmisbaar voor organisaties:
Met online dienstverlening waarbij beschikbaarheid omzet is — e-commerce, ticketing, online platforms
In de financiële sector — banken, verzekeraars, betaalverwerkers: beschikbaarheid is wettelijk vereist
In kritieke infrastructuur — energie, water, transport, telecom: NIS2 stelt expliciete eisen aan weerbaarheidstoetsing
Die afhankelijk zijn van publiek vertrouwen — overheid, zorg, onderwijs: downtime heeft maatschappelijke impact
Met recente investeringen in DDoS-mitigatie die zij willen valideren voordat een aanval dat doet
Na een eerdere DDoS-aanval die de vraag oproept: zijn wij nu werkelijk beter beschermd?
Bij geplande evenementen of lanceringen die doelwitten worden voor gerichte aanvallen
Wilt u aanvallers te snel af zijn? Neem direct contact met ons op.
"Nieuwe eisen vanuit NIS2 voor OT-systemen vergroten de focus op beveiliging. Met DEFION weten we dat we de juiste expertise in huis hebben. De samenwerking was prettig; de specialisten zaten echt naast ons in plaats van tegenover ons." NAD Gemalenbeheer, beheerder van waterbouwkundige infrastructuur
"Dankzij DEFION profiteren we van up-to-date kennis over hedendaagse beveiligingsdreigingen en manieren om risico's te voorkomen. We hebben gemoedsrust in de wetenschap dat we 24/7 volledig worden ondersteund door hun team."
Jeroen van Stokkum ICT-manager
![[object Object]](https://assets.defion.security/api/assets/images/l7GY2Z9ip58BiQ5Bckyaz6f4Kz3KdM-w2000.webp?t=3840)
“De sector en de partners waarmee we samenwerken hanteren hoge beveiligingsnormen. Het beschermen van de privacy van individuen in de beelden en de gevoeligheid van de informatie die de drones verzamelen, zoals over objecten in kritieke infrastructuur, vereist dat onze beveiliging onfeilbaar is. Met Defion werken we samen met een professionele partner die ons op het juiste niveau kan ondersteunen. De samenwerking past ook perfect binnen onze strategie om betrouwbare en veilige dronetechnologie aan Europese klanten te leveren.”
Benjamin van der Hilst Medeoprichter & CEO
“Nieuwe eisen vanuit NIS2 voor OT-systemen vergroten de focus op beveiliging. Met DEFION weten we dat we de juiste expertise in huis hebben om onze systemen veilig te houden. De samenwerking was gemakkelijk en prettig; de specialisten zaten echt naast ons in plaats van tegenover ons. Dankzij hun openheid en expertise werken we samen aan hetzelfde doel: optimale beveiliging. Dit geeft ons het vertrouwen om de toekomst tegemoet te treden.”
Alexander OdijkTeammanager
“Als je kijkt waar we tien jaar geleden stonden, hebben we enorme vooruitgang geboekt. Het gevoel van controle is groter. Met Security Assurance en MDR hebben we processen en controlemechanismen opgezet die ons in staat stellen de impact van een mogelijke aanval te beperken. De samenwerking dient ook als een constante herinnering om de focus op beveiliging te behouden en de juiste prioriteiten op dat gebied te stellen. Het houdt ons alert en scherp. Bovendien zijn de specialisten van Defion zeer technisch onderlegd en gepassioneerd over hun vakgebied. Dat blijkt duidelijk uit hun diensten.”
Gerco VermeerDevelopment Manager
Veelgestelde vragen
Is DDoS testing wettelijk toegestaan?
Ja, als het gecontroleerd en met uw expliciete toestemming plaatsvindt. Wij volgen strikte protocollen en coördineren vooraf met betrokken providers. Alles wordt gedocumenteerd.
Kunnen wij testen zonder risico op daadwerkelijke downtime?
Ja. Wij werken met gefaseerde belastingsopbouw en afgesproken maxima. Tests worden bij voorkeur buiten piekuren gepland. Voor productie-kritieke omgevingen werken wij ook met representatieve staging-omgevingen.
Wat als onze provider de test blokkeert?
Dat voorkomen wij door alle partijen vooraf te informeren en toestemming te verkrijgen. Wij coördineren dit proces volledig.
Dekt de test ook onze cloud-omgeving (AWS/Azure/GCP)?
Ja. Cloud-providers hebben eigen protocollen voor geautoriseerde belastingstests. Wij kennen deze procedures en voeren tests uit conform de vereisten van uw cloud-provider.
Hoe lang duurt een DDoS-test?
Intake en voorbereiding: 1-2 weken. Testuitvoering: 1 dag (met voor- en nabereidingstijd). Analyse en rapportage: 1-2 weken. Totaal 3-5 weken.
Wat is het verschil tussen een DDoS-test en een pentest?
Een pentest zoekt kwetsbaarheden om te misbruiken. Een DDoS-test simuleert beschikbaarheidsaanvallen om uw weerbaarheid te meten. Beide zijn complementair — samen geven ze een volledig beeld van uw aanvalsvlak.
Voldoet dit aan NIS2-vereisten voor weerbaarheidstoetsing?
Ja. NIS2 vereist dat essentiële en belangrijke entiteiten hun continuïteit en weerbaarheid aantoonbaar testen. Een gedocumenteerde DDoS-test met rapportage is een directe invulling van die verplichting.
