DDoS-aanvallen bereikten in 2025 een nieuw niveau van intensiteit en duur. Organisaties hadden 88% van het jaar te maken met actieve aanvallen, waarbij terabit-aanvallen het nieuwe normaal werden. Na een eerste aanval volgt in 70% van de gevallen binnen korte tijd een vervolgaanval.
Het aantal DDoS-aanvallen steeg in 2025 opnieuw sterk, met een toename van 75% volgens onderzoek van IT-securityaanbieder Link11. Dit volgt op een explosieve groei van 137% in 2024. Het onderzoek toont aan dat DDoS zich heeft ontwikkeld van een incidentele verstoring tot een structurele dreiging.
Terabit-aanvallen worden standaard
Waar in 2024 nog één DDoS-aanval van 1,4 terabit per seconde werd geregistreerd, noteerde Link11 in 2025 drie aanvallen boven de 1 terabit per seconde. De zwaarste aanval bereikte 1,33 terabit per seconde en verwerkte meer dan 120 miljoen pakketten per seconde. Het totale aanvalsvolume kwam uit op 509 terabyte aan dataverkeer. Dit staat gelijk aan het dagelijkse dataverkeer van een stad met 120.000 inwoners of meer dan 170.000 uur HD-videostreaming.
De duur van DDoS-aanvallen nam dramatisch toe. De langste aanval duurde 12.388 minuten – meer dan acht dagen onafgebroken. Gedurende 88% van 2025 registreerde Link11 actieve DDoS-aanvallen, wat neerkomt op 322 dagen per jaar.De dynamiek van aanvallen verandert ook fundamenteel. In meer dan 70% van de gevallen volgt na een eerste aanval minstens één vervolgaanval. Gemiddeld werden 2,8 vervolgattacks per incident geregistreerd, een stijging van 80% ten opzichte van het voorgaande jaar.
Volgens Link11-oprichter Jens-Philipp Jung gaat het niet meer alleen om de omvang van aanvallen, maar om duur en aanpasbaarheid. Het bedrijf stelt dat moderne DDoS-campagnes extreme bandbreedte combineren met tactisch geduld.
Tactische evolutie van aanvallen
Cybercriminelen hanteren volgens het onderzoek steeds strategischere methoden. Ze combineren high-volume aanvallen met langdurige ‘low-and-slow’-scenario’s, testen beschermingsmechanismen systematisch en variëren patronen in real time. Aanvallen verplaatsen zich ook steeds vaker naar het applicatieniveau (Layer 7), waar ze legitiem verkeer imiteren en sluipend prestatieverlies veroorzaken zonder klassieke alarmgrenzen te overschrijden.
