PEERYX Network
EN — English FR — Français ES — Español DE — Deutsch NL — Nederlands
Offerte aanvragen
Beschermde IP-transit Reverse Proxy Game Infrastructuur Blog Contact Offerte aanvragen
← Terug naar de blog
Uitgelicht artikel Gepubliceerd op 16 april 2026 Leestijd: 8 min

Beschermde IP-transit tegen DDoS: mitigatie die legitiem verkeer beschermt

Een praktische gids over linksaturatie, risico op 95e-percentiel-facturatie, blackholing, asymmetrische routing, adaptieve filtering en het belang van zowel Gbps als Mpps.

Architectuur voor beschermde IP-transit anti-DDoS
Saturatie voorkomen

Een aanval kan de poort vullen lang voordat de applicatie kan reageren.

Factuurrisico verlagen

Kwaadaardige pieken kunnen 95e-percentiel- of traffic-based facturen vertekenen.

Latency behouden

Asymmetrische routing maakt ingress via Peeryx mogelijk met lokale egress wanneer dat logisch is.

Blokkeren zonder te breken

Het doel is niet alleen snel filteren, maar legitiem verkeer werkend houden tijdens de aanval.

Veel internetgerichte infrastructuren — SaaS-platformen, real-time services, hostingomgevingen, gamingstacks of API’s — krijgen vandaag regelmatig te maken met grotere en complexere DDoS-aanvallen.

In een klassiek connectiviteitsmodel kunnen die aanvallen links snel verzadigen, services onderbreken, transitfacturen opdrijven bij 95e-percentiel- of traffic-facturatie of blackholing van de aangevallen IP afdwingen, met directe impact op legitieme gebruikers.

Daarom is beschermde IP-transit anti-DDoS belangrijk: in plaats van kwaadaardig verkeer tot aan de productie-edge te laten komen, gaat het verkeer eerst door een mitigatielaag die de aanval filtert en alleen schoon verkeer teruglevert.

De grenzen van het klassieke model onder DDoS

Voordat we naar beschermde transit kijken, is het belangrijk te begrijpen waarom het klassieke model niet meer werkt zodra een dienst serieuze of herhaalde aanvallen aantrekt.

In een standaardomgeving komt kwaadaardig verkeer te dicht bij productie voordat er echt beslissende filtering plaatsvindt. Daar beginnen verzadiging, factuurpieken en te destructieve noodmaatregelen.

Netwerksaturatie

Een volumetrische aanval kan 100 Gbps of zelfs meerdere Tbps overschrijden. Een 10G-, 25G- of 100G-poort kan vollopen voordat de dienst tijd heeft om te reageren.

Kostenpiek

Wanneer connectiviteit wordt afgerekend op 95e percentiel of op traffic, kunnen enkele uren ongewenst verkeer de maandfactuur al sterk verstoren.

Blackholing van IP

In veel omgevingen wordt de noodreactie een blackhole op het aangevallen IP. De rest van het netwerk overleeft misschien, maar de getroffen klant blijft offline.

Te generieke profielen

Standaardbescherming werkt vaak met vooraf gedefinieerde mitigatieprofielen. Dat kan werken voor algemene patronen, maar is minder flexibel voor atypisch verkeer en gevoeliger voor collateral filtering.

Risico’s van het klassieke model onder DDoS
Wanneer kwaadaardig verkeer te dicht bij productie komt, is het risico niet alleen technisch maar ook operationeel en financieel.

Wat is beschermde IP-transit anti-DDoS?

Beschermde IP-transit anti-DDoS betekent dat verkeer bestemd voor uw IP-prefixen door een mitigatie-infrastructuur loopt die de aanval upstream filtert en alleen legitiem verkeer teruglevert aan uw infrastructuur.

In tegenstelling tot een gesloten beschermingsmodel of mitigatie gebaseerd op starre statische profielen, behoudt dit ontwerp controle over netwerkarchitectuur, aflevermodellen en de manier waarop verkeer aan de klant wordt teruggegeven.

  • verkeer door een mitigatie-infrastructuur leiden
  • aanvallen upstream filteren
  • alleen legitiem verkeer aan de eindinfrastructuur leveren
  • flexibiliteit behouden rond BGP, tunnels en aflevermodellen

Hoe beschermde transit in de praktijk werkt

De klant kondigt IP-prefixen aan via BGP. Daarna zijn verschillende modellen mogelijk: permanente inzet, activatie alleen tijdens aanvallen — minder ideaal door BGP-convergentie — of symmetrische of asymmetrische routing afhankelijk van de operationele eisen.

Bij Peeryx is asymmetrische routing geen gedegradeerde modus. Een klant kan ingress via Peeryx laten lopen en uitgaand verkeer lokaal houden via een andere transitprovider als dat latency of kosten verbetert. Dat verlaagt de mitigatiekwaliteit niet.

Zodra verkeer de mitigatiefabric bereikt, gaat het niet om blind rate limiting. Het gaat om het begrijpen van legitiem verkeer, het detecteren van de aanval, het genereren van de juiste filterlogica en het terugleveren van schone traffic op lijnsnelheid.

1. BGP-integratie

De klant kondigt de prefixen aan en kiest een permanente of door aanval geactiveerde modus.

2. Verkeersanalyse

Legitiem verkeer wordt continu geobserveerd zodat er bij een aanval een bruikbare baseline beschikbaar is.

3. Regels genereren

Zodra de aanval wordt gedetecteerd, worden filters opgebouwd uit signatures en werkelijk servicegedrag.

4. Schone levering

Gefilterd verkeer wordt teruggeleverd via cross-connect, GRE, IPIP, VXLAN of een router-VM.

Peeryx-diagram voor beschermde transit
Peeryx kan symmetrisch of asymmetrisch worden gebruikt, met meerdere opties voor schone traffic delivery.

Automatische adaptieve mitigatie

Veel oplossingen in de markt vertrouwen vooral op vooraf gedefinieerde mitigatieprofielen. Dat kan passen bij zeer standaard use-cases, vooral klassiek gamingverkeer, maar wordt beperkend zodra legitiem verkeer afwijkt van het verwachte patroon.

Peeryx dwingt standaard geen restrictieve applicatiefilters af. Optionele vooraf gedefinieerde policies kunnen worden toegevoegd — bijvoorbeeld voor FiveM, Minecraft, Rust, Garry’s Mod, Hytale, SSH, WireGuard of OpenVPN — maar het basisgedrag van het platform blijft adaptief.

Het systeem analyseert legitiem verkeer continu buiten mitigatievensters om gebruik, normale flows en servicespecifieke kenmerken te begrijpen. Wanneer een aanval wordt gedetecteerd, correleert het signatures en patronen met die baseline en genereert het in minder dan 20 ms maatwerkregels om de aanval te stoppen zonder nuttig verkeer te blokkeren.

Statische versus adaptieve mitigatie
Het echte verschil zit niet alleen in geadverteerde Gbps. Het blijkt wanneer een aanval moet worden gestopt zonder legitiem verkeer te raken.

Levering van schone traffic

Schone traffic kan worden geleverd met of zonder BGP-aankondiging aan de handoff-kant. Het doel is zich aan te passen aan de architectuur van de klant in plaats van één interconnectiemodel op te leggen.

GRE / IPIP-tunnel

Eenvoudig en snel te deployen wanneer bestaande infrastructuur zonder zware migratie beschermd moet worden.

VXLAN

Flexibeler voor geavanceerde architecturen of omgevingen waar rijkere encapsulatie gewenst is.

Cross-connect

De laagst mogelijke latency en maximale performance voor klanten in dezelfde datacenteromgeving.

Router-VM

Volledige controle voor klanten die hun eigen tunnels en handoff-logica zelf willen opzetten en beheren.

Concrete use-cases

Een bestaande server beschermen

Een beschermingslaag toevoegen aan een OVH-, Hetzner- of vergelijkbare dedicated server zonder de hele infrastructuur te verplaatsen.

Eigen filterlogica hosten

Een dedicated server met XDP of andere logica gebruiken om filtering af te maken na upstream relief.

Gaming-workloads

FiveM, Minecraft en andere latencygevoelige diensten hebben snelle, schone en minimaal intrusieve mitigatie nodig.

SaaS, API’s en kritieke diensten

Niet-standaard applicaties en atypische flows profiteren sterk van mitigatie die rond werkelijk verkeersgedrag is ontworpen.

Waarom deze aanpak verder gaat

Deze aanpak gaat niet alleen over “veel Gbps aankunnen”. Het gaat over het begrijpen van de beschermde dienst, het behouden van de applicatielogica en het omgaan met PPS-druk. Sommige oplossingen adverteren indrukwekkende bandbreedtecijfers maar zijn minder comfortabel wanneer de echte druk vooral packet-rate-gedreven is.

Belangrijk is ook wat er tijdens mitigatie juist niet gebeurt: er wordt geen generieke protocol-rate-limiting toegepast op TCP, UDP, GRE of andere protocollen. Mitigatie mag legitieme transfers niet vertragen of performance kunstmatig beperken alleen omdat bescherming actief is.

Voor echt extreme floods, vooral sommige volumetrische amplificatiescenario’s, kan BGP FlowSpec automatisch en intelligent worden ingezet, maar alleen wanneer daar een echte noodzaak voor is, voor lichte upstream-ontlasting en slechts kortstondig. Het doel is niet om overdreven streng te worden, maar om genoeg volume weg te nemen zonder legitiem verkeer op te offeren.

  • geen starre regels standaard afgedwongen
  • geen generieke blokkering zonder begrip van de dienst
  • continue zichtbaarheid op legitiem verkeer
  • ontworpen voor zowel Gbps- als Mpps-realiteit
  • selectief gebruik van BGP FlowSpec alleen wanneer het echt nodig is
Adaptieve mitigatieketen
Baseline-analyse, aanvalsdetectie, regelgeneratie en selectief FlowSpec-gebruik vormen één coherente keten in plaats van een stapel statische filters.

Veelgemaakte fouten om te vermijden

Een goed anti-DDoS-ontwerp moet de link, de factuur, de gebruikerservaring en de bedrijfslogica van de dienst beschermen. Als het slechts één van die lagen beschermt, blijft het onvolledig.

  • Alleen naar Gbps kijken terwijl PPS vaak de echte beperkende factor is.
  • Een generiek beschermingsmodel kiezen voor verkeer dat niet in standaardpatronen past.
  • Routingontwerp negeren terwijl symmetrische en asymmetrische modellen zeer verschillende latency- en kostenimplicaties kunnen hebben.
  • Aannemen dat beschermde transit elke aanvullende laag vervangt, terwijl een meerlagig ontwerp operationeel vaak het schoonst blijft.

FAQ

Kan ik mijn huidige infrastructuur behouden?

Ja. Schone traffic kan via tunnels of via een BGP-ontwerp worden teruggeleverd dat past bij uw bestaande infrastructuur.

Heeft mitigatie impact op performance?

Nee. Tijdens mitigatie wordt geen generieke protocol-rate-limiting toegepast.

Wordt legitiem verkeer geblokkeerd?

Juist dat probeert het platform te vermijden door filters op te bouwen uit werkelijk serviceverkeer en patronen die tijdens de aanval worden waargenomen.

Is dit geschikt voor zeer grote aanvallen?

Ja. En voor extreme gevallen kan BGP FlowSpec kort en selectief worden gebruikt om volume af te schaven zonder legitiem verkeer te beschadigen.

Conclusie

Beschermde IP-transit anti-DDoS is vandaag een kernbouwsteen voor blootgestelde infrastructuren die saturatie, onnodige blackholing en te destructieve generieke reacties willen vermijden.

Het maakt het mogelijk grote aanvallen op te vangen, diensten te beschermen zonder volledige migratie, echte routingcontrole te behouden en mitigatie per workload aan te passen in plaats van statische profielen op te leggen.

Moderne oplossingen zouden niet alleen capaciteitscijfers moeten communiceren. Ze moeten legitiem verkeer kunnen begrijpen en zich dynamisch aanpassen aan het werkelijke gedrag van de beschermde dienst.

Een ontwerp nodig voor uw echte verkeer?

Peeryx levert beschermde IP-transit anti-DDoS, symmetrische of asymmetrische routing, adaptieve mitigatie op basis van legitiem verkeer, levering via GRE, IPIP, VXLAN of cross-connect en een architectuur die beschermt zonder de dienst te breken.

Offerte aanvragen Bekijk transitaanbod