บอทเน็ตคือกลุ่มของ อุปกรณ์ที่เชื่อมต่อ อินเทอร์เน็ต ซึ่งแต่ละอุปกรณ์จะรัน บอทอย่างน้อยหนึ่งตัว บอทเน็ตสามารถใช้เพื่อ โจมตี แบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ขโมยข้อมูล^{[ 1 ]}ส่งสแปมและอนุญาตให้ผู้โจมตีเข้าถึงอุปกรณ์และการเชื่อมต่อได้ เจ้าของสามารถควบคุมบอทเน็ตได้โดยใช้ซอฟต์แวร์คำสั่งและควบคุม (C&C) ^{[ 2 ]}คำว่า "บอทเน็ต" เป็นคำผสมระหว่างคำว่า " หุ่นยนต์ " และ " เครือข่าย " โดยทั่วไปคำนี้มักใช้ในความหมายเชิงลบหรือเป็นอันตราย

บอทเน็ตคือกลุ่ม อุปกรณ์ที่เชื่อมต่อ อินเทอร์เน็ตเช่น คอมพิวเตอร์สมาร์ทโฟนหรือ อุปกรณ์ อินเทอร์เน็ตของสิ่งต่างๆ (IoT) ที่ถูกเจาะระบบรักษาความปลอดภัย และถูกควบคุมโดยบุคคลที่สาม อุปกรณ์ที่ถูกบุกรุกแต่ละเครื่อง ซึ่งเรียกว่า "บอท" จะถูกสร้างขึ้นเมื่ออุปกรณ์นั้นถูกเจาะโดยซอฟต์แวร์จาก มัลแวร์ (ซอฟต์แวร์ที่เป็นอันตราย) ผู้ควบคุมบอทเน็ตสามารถสั่งการกิจกรรมของคอมพิวเตอร์ที่ถูกบุกรุกเหล่านี้ผ่านช่องทางการสื่อสารที่สร้างขึ้นโดย โปรโตคอลเครือข่ายเช่น Internet Relay Chat ( IRC ) และHypertext Transfer Protocol (HTTP) ^{[ 3 ] [ 4 ]}

การดำเนินการ การสร้าง หรือการใช้บอทเน็ตเพื่อเข้าถึงหรือควบคุมอุปกรณ์โดยไม่ได้รับอนุญาตจากเจ้าของถือเป็นสิ่งผิดกฎหมายในเขตอำนาจศาลส่วนใหญ่ และมักถูกดำเนินคดีในข้อหาแฮ็ก การฉ้อโกง หรืออาชญากรรมไซเบอร์ ที่เกี่ยวข้อง หน่วยงานบังคับใช้กฎหมายและภาคเอกชนยังใช้เครื่องมือทางกฎหมายเพื่อทำลายบอทเน็ต แต่การทำลายบอทเน็ตเหล่านั้นก่อให้เกิดปัญหาทางกฎหมายและรัฐธรรมนูญที่แตกต่างกัน^{[ 5 ] [ 6 ] [ 7 ]}

บอทเน็ตถูกเช่าโดยอาชญากรไซเบอร์ มากขึ้นเรื่อยๆ ในฐานะสินค้าโภคภัณฑ์เพื่อวัตถุประสงค์ต่างๆ^{[ 8 ]}รวมถึงบริการ บูตเตอร์/สเตรสเซอร์

สถาปัตยกรรมบอทเน็ตมีการพัฒนาขึ้นเรื่อยๆ เพื่อหลีกเลี่ยงการตรวจจับและการขัดขวาง โดยทั่วไปแล้ว โปรแกรมบอทจะถูกสร้างขึ้นเป็นไคลเอนต์ที่สื่อสารผ่านเซิร์ฟเวอร์ที่มีอยู่ ซึ่งทำให้ผู้ควบคุมบอทเน็ต (ผู้ควบคุมบอทเน็ต) สามารถควบคุมทุกอย่างจากระยะไกลได้ ซึ่งทำให้การรับส่งข้อมูลไม่ชัดเจน^{[ 9 ]}บอทเน็ตจำนวนมากในปัจจุบันอาศัยเครือข่ายแบบ peer-to-peer ที่มีอยู่ เพื่อสื่อสารกัน โปรแกรมบอท P2P เหล่านี้ดำเนินการเช่นเดียวกับโมเดลไคลเอนต์-เซิร์ฟเวอร์ แต่ไม่จำเป็นต้องมีเซิร์ฟเวอร์กลางในการสื่อสาร

บอทเน็ตแรกๆ บนอินเทอร์เน็ตใช้โมเดลไคลเอ็นต์-เซิร์ฟเวอร์เพื่อดำเนินการตามภารกิจ^{[ 10 ]}โดยทั่วไป บอทเน็ตเหล่านี้ทำงานผ่านเครือข่ายInternet Relay Chat โดเมนหรือเว็บไซต์ไคลเอ็นต์ที่ติดเชื้อจะเข้าถึงตำแหน่งที่กำหนดไว้ล่วงหน้าและรอรับคำสั่งจากเซิร์ฟเวอร์ ผู้ควบคุมบอทจะส่งคำสั่งไปยังเซิร์ฟเวอร์ ซึ่งจะส่งต่อคำสั่งเหล่านั้นไปยังไคลเอ็นต์ ไคลเอ็นต์จะดำเนินการตามคำสั่งและรายงานผลลัพธ์กลับไปยังผู้ควบคุมบอท

ในกรณีของบอทเน็ต IRC ไคลเอนต์ที่ติดเชื้อจะเชื่อมต่อกับ เซิร์ฟเวอร์ IRC ที่ติดเชื้อและเข้าร่วมช่องที่กำหนดไว้ล่วงหน้าสำหรับ C&C โดยบอทเฮอร์เดอร์ บอทเฮอร์เดอร์จะส่งคำสั่งไปยังช่องผ่านเซิร์ฟเวอร์ IRC ไคลเอนต์แต่ละรายจะดึงคำสั่งและดำเนินการ ไคลเอนต์จะส่งข้อความกลับไปยังช่อง IRC พร้อมกับผลลัพธ์ของการกระทำของตน^{[ 9 ]}

เพื่อตอบสนองต่อความพยายามในการตรวจจับและตัดหัวบอทเน็ต IRC ผู้ควบคุมบอทได้เริ่มใช้งานมัลแวร์บน เครือข่าย แบบเพียร์ทูเพียร์บอทเหล่านี้อาจใช้ลายเซ็นดิจิทัลเพื่อให้เฉพาะผู้ที่มีสิทธิ์เข้าถึงคีย์ส่วนตัวเท่านั้นที่สามารถควบคุมบอทเน็ตได้^{[ 11 ]}เช่นในGameover ZeuSและ บอท เน็ต ZeroAccess

บอทเน็ตรุ่นใหม่ทำงานบนเครือข่าย P2P อย่างสมบูรณ์ แทนที่จะสื่อสารกับเซิร์ฟเวอร์ส่วนกลาง บอท P2P ทำหน้าที่เป็นทั้งเซิร์ฟเวอร์กระจายคำสั่งและไคลเอนต์ที่รับคำสั่ง^{[ 12 ]}ซึ่งช่วยหลีกเลี่ยงจุดล้มเหลวเพียงจุดเดียว ซึ่งเป็นปัญหาสำหรับบอทเน็ตแบบรวมศูนย์

เพื่อค้นหาเครื่องที่ติดเชื้ออื่นๆ บอท P2P จะตรวจสอบที่อยู่ IP แบบสุ่มอย่างรอบคอบ จนกว่าจะพบเครื่องที่ติดเชื้ออีกเครื่องหนึ่ง บอทที่ติดต่อจะตอบกลับด้วยข้อมูลต่างๆ เช่น เวอร์ชันซอฟต์แวร์และรายชื่อบอทที่รู้จัก หากเวอร์ชันของบอทตัวใดตัวหนึ่งต่ำกว่าอีกตัวหนึ่ง บอทตัวนั้นจะเริ่มการถ่ายโอนไฟล์เพื่ออัปเดต^{[ 11 ]}ด้วยวิธีนี้ บอทแต่ละตัวจะเพิ่มรายชื่อเครื่องที่ติดเชื้อและอัปเดตตัวเองโดยการสื่อสารกับบอทที่รู้จักทั้งหมดเป็นระยะ

ผู้สร้างบอทเน็ต (ที่รู้จักกันในชื่อ " ผู้ควบคุมบอท " หรือ "เจ้าแห่งบอท") จะควบคุมบอทเน็ตจากระยะไกล กระบวนการนี้เรียกว่าการควบคุมและสั่งการ (C&C) โปรแกรมที่ใช้ในการปฏิบัติการจะต้องสื่อสารผ่านช่องทางลับไปยังไคลเอนต์บนเครื่องของเหยื่อ (คอมพิวเตอร์ซอมบี้)

IRC เป็นวิธีการสื่อสาร C&C ที่ได้รับความนิยมในอดีตเนื่องจากโปรโตคอลการสื่อสารบอทเฮอร์เดอร์สร้างช่อง IRC สำหรับไคลเอนต์ที่ติดไวรัสเพื่อเข้าร่วม ข้อความที่ส่งไปยังช่องจะถูกกระจายไปยังสมาชิกช่องทั้งหมด บอทเฮอร์เดอร์อาจตั้งหัวข้อของช่องเพื่อสั่งการบอทเน็ต ตัวอย่างเช่น ข้อความ:[email protected] TOPIC #channel DDoS www.victim.comจากบอทเฮอร์เดอร์จะแจ้งเตือนไคลเอนต์ที่ติดไวรัสทั้งหมดที่อยู่ในช่อง #channel ให้เริ่มการโจมตี DDoS บนเว็บไซต์ www.victim.com ตัวอย่างการตอบกลับ:[email protected] PRIVMSG #channel I am DDoSing www.victim.comจากไคลเอนต์บอทจะแจ้งเตือนบอทเฮอร์เดอร์ว่าได้เริ่มการโจมตีแล้ว^{[ 11 ]}

บอทเน็ตบางตัวใช้โปรโตคอลที่รู้จักกันดีในเวอร์ชันที่กำหนดเอง ความแตกต่างในการใช้งานสามารถใช้ในการตรวจจับบอทเน็ตได้ ตัวอย่างเช่นMega-D มีการใช้งาน Simple Mail Transfer Protocol (SMTP) ที่แก้ไขเล็กน้อยเพื่อทดสอบความสามารถในการส่งสแปม การปิด เซิร์ฟเวอร์ SMTP ของ Mega-Dจะทำให้บอททั้งหมดที่ใช้เซิร์ฟเวอร์ SMTP เดียวกันนั้นใช้งานไม่ได้^{[ 13 ]}

ในวิทยาการคอมพิวเตอร์คอมพิวเตอร์ซอมบี้คือคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตซึ่งถูกแฮ็กเกอร์ไวรัสคอมพิวเตอร์หรือโทรจันบุกรุกและสามารถใช้เพื่อทำงานที่เป็นอันตรายภายใต้การควบคุมจากระยะไกล เครือข่ายบอทของคอมพิวเตอร์ซอมบี้มักถูกใช้เพื่อแพร่กระจายสแปมอีเมลและโจมตีแบบปฏิเสธการให้บริการ (DDoS) เจ้าของคอมพิวเตอร์ซอมบี้ส่วนใหญ่ไม่ทราบว่าระบบของตนถูกใช้ในลักษณะนี้ เนื่องจากเจ้าของมักไม่รู้ตัว คอมพิวเตอร์เหล่านี้จึงถูกเปรียบเทียบในเชิงเปรียบเทียบกับซอมบี้การโจมตี DDoS ที่ประสานงานกันโดยเครื่องบอทเน็ตหลายเครื่องก็คล้ายกับการโจมตีของฝูงซอมบี้เช่นกัน^{[ 14 ]}

กระบวนการขโมยทรัพยากรคอมพิวเตอร์อันเป็นผลมาจากการที่ระบบเข้าร่วมกับ "บอทเน็ต" บางครั้งเรียกว่า "scrumping" ^{[ 15 ]}

โปรโตคอลการควบคุมและสั่งการ (C&C) ของบอทเน็ตได้รับการนำไปใช้ในหลายรูปแบบ ตั้งแต่แนวทาง IRC แบบดั้งเดิมไปจนถึงเวอร์ชันที่ซับซ้อนยิ่งขึ้น

บอทเน็ต Telnetใช้โปรโตคอลบอทเน็ต C&C แบบง่ายๆ โดยที่บอทจะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งหลักเพื่อโฮสต์บอทเน็ต บอทจะถูกเพิ่มเข้าไปในบอทเน็ตโดยใช้สคริปต์ สแกน ซึ่งทำงานบนเซิร์ฟเวอร์ภายนอกและสแกนช่วง IPเพื่อหาการเข้าสู่ระบบเริ่มต้นของเซิร์ฟเวอร์ Telnet และSSHเมื่อพบการเข้าสู่ระบบแล้ว เซิร์ฟเวอร์สแกนสามารถแพร่เชื้อผ่าน SSH ด้วยมัลแวร์ ซึ่งจะส่ง ping ไปยังเซิร์ฟเวอร์ควบคุม

เครือข่าย IRC ใช้การสื่อสารแบบง่ายๆ ที่ใช้แบนด์วิดท์ต่ำ ทำให้เป็นที่นิยมใช้ในการโฮสต์บอทเน็ต โดยทั่วไปแล้วโครงสร้างของเครือข่ายนี้ค่อนข้างเรียบง่าย และประสบความสำเร็จในระดับหนึ่งในการประสานงานการโจมตี DDoS และแคมเปญสแปม ในขณะที่สามารถสลับช่องได้อย่างต่อเนื่องเพื่อหลีกเลี่ยงการถูกปิด อย่างไรก็ตาม ในบางกรณี การบล็อกคำหลักบางคำก็พิสูจน์แล้วว่ามีประสิทธิภาพในการหยุดบอทเน็ตที่ใช้ IRC มาตรฐาน RFC 1459 ( IRC ) เป็นที่นิยมในหมู่บอทเน็ต สคริปต์ควบคุมบอทเน็ตยอดนิยมตัวแรกที่รู้จักกันคือ "MaXiTE Bot" ซึ่งใช้โปรโตคอล IRC XDCC สำหรับคำสั่งควบคุมส่วนตัว

ปัญหาหนึ่งของการใช้ IRC คือ ไคลเอนต์บอทแต่ละตัวต้องรู้จักเซิร์ฟเวอร์ IRC พอร์ต และช่องสัญญาณจึงจะมีประโยชน์ต่อบอทเน็ต องค์กรต่อต้านมัลแวร์สามารถตรวจจับและปิดเซิร์ฟเวอร์และช่องสัญญาณเหล่านี้ได้ ซึ่งจะหยุดการโจมตีของบอทเน็ตได้อย่างมีประสิทธิภาพ หากเกิดเหตุการณ์นี้ขึ้น ไคลเอนต์จะยังคงติดเชื้ออยู่ แต่โดยทั่วไปแล้วพวกมันจะอยู่เฉยๆ เนื่องจากไม่มีวิธีรับคำสั่ง^{[ 11 ]}เพื่อลดปัญหานี้ บอทเน็ตสามารถประกอบด้วยเซิร์ฟเวอร์หรือช่องสัญญาณหลายตัว หากเซิร์ฟเวอร์หรือช่องสัญญาณตัวใดตัวหนึ่งถูกปิดใช้งาน บอทเน็ตก็จะเปลี่ยนไปใช้ตัวอื่นแทน ยังคงสามารถตรวจจับและขัดขวางเซิร์ฟเวอร์หรือช่องสัญญาณบอทเน็ตเพิ่มเติมได้โดยการดักฟังการรับส่งข้อมูล IRC ศัตรูของบอทเน็ตอาจได้รับความรู้เกี่ยวกับรูปแบบการควบคุมและเลียนแบบผู้ควบคุมบอทโดยการออกคำสั่งอย่างถูกต้อง^{[ 16 ]}

เนื่องจากบอทเน็ตส่วนใหญ่ที่ใช้เครือข่ายและโดเมน IRC สามารถถูกปิดได้เมื่อเวลาผ่านไป แฮกเกอร์จึงหันมาใช้บอทเน็ตแบบ P2P ที่มี C&C เพื่อทำให้บอทเน็ตมีความยืดหยุ่นและทนทานต่อการถูกทำลายมากขึ้น

บางคนใช้การเข้ารหัสเป็นวิธีการรักษาความปลอดภัยหรือปิดกั้นบอทเน็ตจากผู้อื่น โดยส่วนใหญ่แล้วเมื่อใช้การเข้ารหัส มักจะเป็นการเข้ารหัสแบบกุญแจสาธารณะซึ่งก่อให้เกิดความท้าทายทั้งในการนำไปใช้งานและการถอดรหัส

บอทเน็ตขนาดใหญ่จำนวนมากมักใช้โดเมนแทน IRC ในการสร้าง (ดูตัวอย่างบอทเน็ต Rustockและบอทเน็ต Srizbi ) โดยปกติแล้วจะใช้ บริการ โฮสติ้งที่ปลอดภัยสูงนี่เป็นหนึ่งในรูปแบบแรกๆ ของ C&C (Control and Control) คอมพิวเตอร์ซอมบี้จะเข้าถึงเว็บเพจหรือโดเมนที่ออกแบบมาเป็นพิเศษ ซึ่งทำหน้าที่ส่งคำสั่งควบคุม ข้อดีของการใช้เว็บเพจหรือโดเมนเป็น C&C คือ บอทเน็ตขนาดใหญ่สามารถควบคุมและบำรุงรักษาได้อย่างมีประสิทธิภาพด้วยโค้ดที่เรียบง่ายและสามารถอัปเดตได้ง่าย

ข้อเสียของการใช้วิธีนี้คือ มันใช้แบนด์วิดท์จำนวนมากในวงกว้าง และหน่วยงานภาครัฐสามารถยึดโดเมนได้อย่างรวดเร็วโดยใช้ความพยายามเพียงเล็กน้อย หากโดเมนที่ควบคุมบอทเน็ตไม่ถูกยึด พวกมันก็ตกเป็นเป้าหมายของการโจมตีแบบปฏิเสธการให้บริการได้ ง่ายเช่นกัน

Fast-flux DNSสามารถใช้เพื่อทำให้การติดตามเซิร์ฟเวอร์ควบคุมซึ่งอาจเปลี่ยนแปลงไปในแต่ละวันทำได้ยาก เซิร์ฟเวอร์ควบคุมอาจเปลี่ยนโดเมน DNS ไปเรื่อยๆ โดย ใช้ อัลกอริธึมการสร้างโดเมนเพื่อสร้างชื่อ DNS ใหม่สำหรับเซิร์ฟเวอร์ควบคุม

บอทเน็ตบางตัวใช้ บริการโฮสติ้ง DNS ฟรี เช่นDynDns.org , No-IP.comและ Afraid.org เพื่อชี้โดเมนย่อยไปยังเซิร์ฟเวอร์ IRC ที่เป็นที่อยู่ของบอทเหล่านั้น แม้ว่าบริการ DNS ฟรีเหล่านี้จะไม่ได้เป็นผู้ให้บริการโจมตีโดยตรง แต่ก็เป็นจุดอ้างอิง (มักถูกเขียนไว้ในไฟล์ปฏิบัติการของบอทเน็ต) การลบบริการเหล่านี้สามารถทำให้บอทเน็ตทั้งหมดใช้งานไม่ได้

การเรียกกลับไปยังเว็บไซต์ยอดนิยม^{[ 17 ]}เช่นGitHub [ ^{18 ]} Twitter ^{[ 19} ] ^{[ 20 ]} Reddit ^{[ 21 ]} Instagram [ ^{22 ]}โปรโตคอลข้อความโต้ตอบแบบทันทีโอเพนซอร์สXMPP ^{[ 23 ]}และ บริการ Tor hidden services ^{[ 24 ]}เป็นวิธีที่ได้รับความนิยมในการหลีกเลี่ยง^การกรอง^ขาออก^{เพื่อ}สื่อสารกับเซิร์ฟเวอร์ C&C ^{[ 25 ]}

ตัวอย่างนี้แสดงให้เห็นถึงวิธีการสร้างบอทเน็ตและนำไปใช้เพื่อผลประโยชน์ที่มุ่งร้าย

1. แฮ็กเกอร์ซื้อหรือสร้างโทรจันและ/หรือชุดเครื่องมือโจมตี และใช้มันเพื่อเริ่มแพร่เชื้อไปยังคอมพิวเตอร์ของผู้ใช้ โดยมีโปรแกรมที่เป็นอันตราย หรือบอท เป็นส่วนประกอบหลักในการแพร่เชื้อ
2. บอทจะสั่งการให้พีซีที่ติดไวรัสเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C&C) ที่กำหนดไว้ (ซึ่งทำให้ผู้ควบคุมบอทสามารถบันทึกจำนวนบอทที่กำลังทำงานและออนไลน์อยู่ได้)
3. จากนั้นผู้ควบคุมบอทอาจใช้บอทเหล่านั้นเพื่อรวบรวมข้อมูลการกดแป้นพิมพ์ หรือใช้การดักจับข้อมูลในแบบฟอร์มเพื่อขโมยข้อมูลประจำตัวออนไลน์ และอาจให้เช่าบอทเน็ตเป็นบริการโจมตี DDoS และ/หรือส่งสแปม หรือขายข้อมูลประจำตัวเหล่านั้นทางออนไลน์เพื่อทำกำไร
4. มูลค่าจะเพิ่มขึ้นหรือลดลงนั้นขึ้นอยู่กับคุณภาพและความสามารถของบอท

บอทรุ่นใหม่สามารถสแกนสภาพแวดล้อมและแพร่กระจายตัวเองโดยอัตโนมัติโดยใช้ช่องโหว่และรหัสผ่านที่อ่อนแอ โดยทั่วไป ยิ่งบอทสามารถสแกนและแพร่กระจายช่องโหว่ได้มากเท่าไร ก็ยิ่งมีค่ามากขึ้นสำหรับชุมชนผู้ควบคุมบอทเน็ต^{[ 26 ]}

คอมพิวเตอร์สามารถถูกดึงเข้าไปเป็นส่วนหนึ่งของบอทเน็ตได้เมื่อมันเรียกใช้ซอฟต์แวร์ที่เป็นอันตราย วิธีการหนึ่งที่ทำได้คือการล่อลวงผู้ใช้ให้ดาวน์โหลดโปรแกรมโดย ไม่รู้ตัว การใช้ช่องโหว่ของเว็บเบราว์เซอร์หรือหลอกให้ผู้ใช้เรียกใช้ โปรแกรม โทรจันซึ่งอาจมาจากไฟล์แนบในอีเมล มัลแวร์นี้มักจะติดตั้งโมดูลที่อนุญาตให้ผู้ควบคุมบอทเน็ตสั่งการและควบคุมคอมพิวเตอร์ได้ หลังจากดาวน์โหลดซอฟต์แวร์แล้ว มันจะติดต่อกลับไปยังคอมพิวเตอร์โฮสต์ (ส่งแพ็กเก็ต การเชื่อมต่อใหม่ ) เมื่อการเชื่อมต่อใหม่เกิดขึ้น ขึ้นอยู่กับวิธีการเขียนโปรแกรม โทรจันอาจลบตัวเองหรืออาจยังคงอยู่เพื่ออัปเดตและบำรุงรักษาโมดูลต่อไป

ในบางกรณี บอทเน็ตอาจถูกสร้างขึ้นชั่วคราวโดยนักกิจกรรมแฮ็กเกอร์ อาสาสมัคร เช่น การใช้งานLow Orbit Ion Cannonที่สมาชิก4chan ใช้ระหว่าง โครงการ Chanologyในปี 2010 ^{[ 27 ]}

ปืนใหญ่ของจีนอนุญาตให้แก้ไขการรับส่งข้อมูลการท่องเว็บที่ถูกต้องตามกฎหมายบนโครงข่ายอินเทอร์เน็ตหลักไปยังประเทศจีนเพื่อสร้างบอทเน็ตขนาดใหญ่ชั่วคราวเพื่อโจมตีเป้าหมายขนาดใหญ่ เช่นGitHubในปี 2015 ^{[ 28 ]}

• การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (Distributed denial-of-service attacks)เป็นหนึ่งในการใช้งานบอทเน็ตที่พบบ่อยที่สุด โดยระบบหลายระบบจะส่งคำขอไปยังคอมพิวเตอร์หรือบริการอินเทอร์เน็ตเครื่องเดียวให้มากที่สุดเท่าที่จะเป็นไปได้ ทำให้เกิดการโอเวอร์โหลดและป้องกันไม่ให้สามารถให้บริการคำขอที่ถูกต้องได้ ตัวอย่างเช่น การโจมตีเซิร์ฟเวอร์ของเหยื่อ เซิร์ฟเวอร์ของเหยื่อจะถูกโจมตีด้วยคำขอจากบอทที่พยายามเชื่อมต่อกับเซิร์ฟเวอร์ ทำให้เกิดการโอเวอร์โหลดShuman Ghosemajumderหัวหน้าฝ่ายปราบปรามการฉ้อโกงของ Googleกล่าวว่าการโจมตีประเภทนี้ที่ทำให้เว็บไซต์หลักๆ ล่มจะยังคงเกิดขึ้นเป็นประจำเนื่องจากการใช้บอทเน็ตเป็นบริการ^{[ 29 ]}
• สปายแวร์คือซอฟต์แวร์ที่ส่งข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้ไปยังผู้สร้าง ซึ่งโดยทั่วไปจะเป็นรหัสผ่าน หมายเลขบัตรเครดิต และข้อมูลอื่นๆ ที่สามารถขายได้ในตลาดมืด เครื่องที่ถูกบุกรุกซึ่งตั้งอยู่ในเครือข่ายขององค์กรอาจมีมูลค่ามากกว่าสำหรับผู้ควบคุมบอท เนื่องจากพวกเขามักจะสามารถเข้าถึงข้อมูลลับขององค์กรได้ มีการโจมตีเป้าหมายหลายครั้งต่อองค์กรขนาดใหญ่เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น บอทเน็ต Aurora ^{[ 30 ]}
• อีเมลสแปมคืออีเมลที่ปลอมตัวเป็นข้อความจากบุคคล แต่เป็นอีเมลโฆษณา อีเมลก่อกวน หรืออีเมลที่เป็นอันตราย ในปี 2548 มีการประมาณการว่า 50–80% ของสแปมทั่วโลกถูกส่งมาจากคอมพิวเตอร์ซอมบี้^{[ 31 ]}ซึ่งทำให้ผู้ส่งสแปมสามารถหลีกเลี่ยงการตรวจจับได้ และคาดว่าจะช่วยลด ค่าใช้จ่าย ด้านแบนด์วิดท์เนื่องจากเจ้าของคอมพิวเตอร์ซอมบี้เป็นผู้จ่ายค่าแบนด์วิดท์เอง
• การฉ้อโกงการคลิกเกิดขึ้นเมื่อคอมพิวเตอร์ของผู้ใช้เข้าชมเว็บไซต์โดยที่ผู้ใช้ไม่รู้ตัวเพื่อสร้างการเข้าชมเว็บปลอมเพื่อผลประโยชน์ส่วนตัวหรือเชิงพาณิชย์^{[ 32 ]}
• การฉ้อโกงโฆษณามักเป็นผลมาจากกิจกรรมของบอทที่เป็นอันตราย ตามรายงานของ CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet ^{[ 33 ]}วัตถุประสงค์เชิงพาณิชย์ของบอท ได้แก่ อินฟลูเอนเซอร์ใช้บอทเพื่อเพิ่มความนิยมที่คาดการณ์ไว้ และผู้เผยแพร่ออนไลน์ใช้บอทเพื่อเพิ่มจำนวนคลิกที่โฆษณาได้รับ ทำให้เว็บไซต์ได้รับค่าคอมมิชชั่นจากผู้ลงโฆษณามากขึ้น
• การโจมตี แบบ Credential stuffingใช้บอทเน็ตเพื่อล็อกอินเข้าบัญชีผู้ใช้จำนวนมากด้วยรหัสผ่านที่ถูกขโมย เช่นเดียวกับการโจมตี General Motors ในปี 2022 ^{[ 34 ]}
• การขุด Bitcoinถูกนำมาใช้ในบอทเน็ตบางส่วนในช่วงหลังๆ ซึ่งรวมถึงการขุด Bitcoin เป็นคุณสมบัติในการสร้างผลกำไรให้กับผู้ดำเนินการบอทเน็ต^{[ 35 ] [ 36 ]}
• ฟังก์ชันการแพร่กระจายตัวเอง ซึ่งค้นหาคำสั่งควบคุมและสั่งการ (CNC) ที่กำหนดค่าไว้ล่วงหน้าซึ่งส่งไปยังอุปกรณ์หรือเครือข่ายเป้าหมาย เพื่อมุ่งเป้าไปที่การแพร่กระจายเชื้อนั้น พบได้ในบอทเน็ตหลายตัว บอทเน็ตบางตัวใช้ฟังก์ชันนี้เพื่อทำให้การแพร่เชื้อเป็นไปโดยอัตโนมัติ

ตั้งแต่เดือนกรกฎาคม พ.ศ. 2552 ความสามารถของบอทเน็ตที่คล้ายกันก็ปรากฏขึ้นสำหรับ ตลาด สมาร์ทโฟน ที่กำลังเติบโต ตัวอย่างเช่น การปล่อยเวิร์ม ข้อความ Sexy Space ในเดือนกรกฎาคม พ.ศ. 2552 ซึ่งเป็นเวิร์ม SMSตัวแรกของโลกที่สามารถสร้างบอทเน็ตได้โดยมุ่งเป้าไปที่ ระบบปฏิบัติการ Symbianใน สมาร์ทโฟน Nokiaต่อมาในเดือนนั้น นักวิจัยCharlie Millerได้เปิดเผย เวิ ร์มข้อความต้นแบบ สำหรับ iPhoneในงานBlack Hat Briefingsนอกจากนี้ ในเดือนกรกฎาคม ผู้บริโภค ในสหรัฐอาหรับเอมิเรตส์ ยัง ตกเป็นเป้าหมายของ โปรแกรม สปายแวร์Etisalat BlackBerry ในช่วงปี พ.ศ. 2553 ชุมชนด้านความปลอดภัยมีความเห็นที่แตกต่างกันเกี่ยวกับศักยภาพในโลกแห่งความเป็นจริงของบอทเน็ตบนมือถือ แต่ในการสัมภาษณ์กับThe New York Times ในเดือนสิงหาคม พ.ศ. 2552 ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์Michael Greggได้สรุปประเด็นนี้ไว้ว่า "เราอยู่ในจุดเดียวกับสมาร์ทโฟนที่เราเคยอยู่กับเดสก์ท็อปในยุค 80" ^{[ 37 ]}

ชุมชนผู้ควบคุมบอทเน็ตแข่งขันกันอย่างต่อเนื่องว่าใครมีบอทมากที่สุด มีแบนด์วิดท์โดยรวมสูงสุด และมีเครื่องที่ติดเชื้อ "คุณภาพสูง" มากที่สุด เช่น เครื่องของมหาวิทยาลัย บริษัท และแม้แต่เครื่องของรัฐบาล^{[ 38 ]}

แม้ว่าบอทเน็ตมักจะถูกตั้งชื่อตามมัลแวร์ที่สร้างมันขึ้นมา แต่บอทเน็ตหลายตัวมักจะใช้มัลแวร์ตัวเดียวกันแต่ดำเนินการโดยหน่วยงานที่แตกต่างกัน^{[ 39 ]}

บอทเน็ตสามารถใช้สำหรับการหลอกลวงทางอิเล็กทรอนิกส์ได้หลายอย่าง บอทเน็ตเหล่านี้สามารถใช้เพื่อกระจายมัลแวร์ เช่น ไวรัส เพื่อควบคุมคอมพิวเตอร์/ซอฟต์แวร์ของผู้ใช้ทั่วไป^{[ 40 ]}เมื่อควบคุมคอมพิวเตอร์ส่วนบุคคลของผู้อื่นได้แล้ว พวกเขาก็จะสามารถเข้าถึงข้อมูลส่วนบุคคลได้อย่างไม่จำกัด รวมถึงรหัสผ่านและข้อมูลการเข้าสู่ระบบบัญชีต่างๆ นี่เรียกว่าการฟิชชิ่ง การฟิชชิ่งคือการได้มาซึ่งข้อมูลการเข้าสู่ระบบบัญชีของ "เหยื่อ" ด้วยลิงก์ที่ "เหยื่อ" คลิก ซึ่งส่งมาทางอีเมลหรือข้อความ^{[ 41 ]}การสำรวจโดยVerizonพบว่าประมาณสองในสามของกรณี "การจารกรรม" ทางอิเล็กทรอนิกส์มาจากการฟิชชิ่ง^{[ 42 ]}

การกระจายตัวทางภูมิศาสตร์ของบอทเน็ตหมายความว่าบอทเน็ตแต่ละตัวจะต้องได้รับการระบุ/ควบคุม/ซ่อมแซมทีละตัว ซึ่งทำให้ประโยชน์ของการกรองลด ลง

ผู้เชี่ยวชาญด้านความปลอดภัยของคอมพิวเตอร์ประสบความสำเร็จในการทำลายหรือทำลายเครือข่ายควบคุมและสั่งการของมัลแวร์ โดยวิธีการต่างๆ เช่น การยึดเซิร์ฟเวอร์หรือตัดการเชื่อมต่อจากอินเทอร์เน็ต การปฏิเสธการเข้าถึงโดเมนที่มัลแวร์จะใช้ในการติดต่อโครงสร้างพื้นฐาน C&C และในบางกรณี การบุกเข้าไปในเครือข่าย C&C เอง^{[ 43 ] [ 44 ] [ 45 ]}เพื่อตอบสนองต่อเรื่องนี้ ผู้ดำเนินการ C&C จึงหันมาใช้วิธีการต่างๆ เช่น การวางเครือข่าย C&C ของตนทับซ้อนกับโครงสร้างพื้นฐานที่ไม่เป็นอันตรายอื่นๆ ที่มีอยู่ เช่นIRCหรือTorการใช้ ระบบ เครือข่ายแบบ peer-to-peerที่ไม่ขึ้นอยู่กับเซิร์ฟเวอร์คงที่ใดๆ และการใช้การเข้ารหัสคีย์สาธารณะเพื่อป้องกันความพยายามในการบุกเข้าไปหรือปลอมแปลงเครือข่าย^{[ 46 ]}

Norton AntiBotมีเป้าหมายที่ผู้บริโภค แต่ส่วนใหญ่จะมุ่งเป้าไปที่องค์กรและ/หรือผู้ให้บริการอินเทอร์เน็ต (ISP) เทคนิคที่ใช้กับโฮสต์จะใช้ฮิวริสติกส์ในการระบุพฤติกรรมของบอทที่หลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส แบบดั้งเดิม ได้ ส่วนวิธีการที่ใช้กับเครือข่ายมักจะใช้เทคนิคที่อธิบายไว้ข้างต้น เช่น การปิดเซิร์ฟเวอร์ C&C การกำหนดเส้นทาง DNS เป็นค่าว่าง หรือการปิดเซิร์ฟเวอร์ IRC อย่างสมบูรณ์BotHunterเป็นซอฟต์แวร์ที่พัฒนาขึ้นโดยได้รับการสนับสนุนจากสำนักงานวิจัยกองทัพบกสหรัฐฯซึ่งตรวจจับกิจกรรมของบอทเน็ตภายในเครือข่ายโดยการวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายและเปรียบเทียบกับรูปแบบที่มีลักษณะเฉพาะของกระบวนการที่เป็นอันตราย

นักวิจัยที่Sandia National Laboratoriesกำลังวิเคราะห์พฤติกรรมของบอทเน็ตโดยการรันเคอร์เนล Linux หนึ่งล้านตัวพร้อมกัน ซึ่งมีขนาดใกล้เคียงกับบอทเน็ต ในรูปแบบเครื่องเสมือน บน คลัสเตอร์คอมพิวเตอร์ประสิทธิภาพสูง 4,480 โหนดเพื่อจำลองเครือข่ายขนาดใหญ่มาก ทำให้พวกเขาสามารถสังเกตวิธีการทำงานของบอทเน็ตและทดลองหาวิธีหยุดยั้งบอทเน็ตได้^{[ 47 ]}

การตรวจจับบอทอัตโนมัติทำได้ยากขึ้นเรื่อยๆ เนื่องจากบอทรุ่นใหม่ที่มีความซับซ้อนมากขึ้นถูกโจมตีโดยผู้โจมตี ตัวอย่างเช่น การโจมตีอัตโนมัติสามารถใช้กองทัพบอทขนาดใหญ่และใช้วิธีการแบบ Brute-force โดยใช้รายการชื่อผู้ใช้และรหัสผ่านที่แม่นยำสูงเพื่อแฮ็กบัญชี แนวคิดคือการทำให้เว็บไซต์ล่มด้วยคำขอหลายหมื่นรายการจาก IP ต่างๆ ทั่วโลก แต่ละบอทจะส่งคำขอเพียงครั้งเดียวทุกๆ 10 นาที ซึ่งอาจส่งผลให้มีความพยายามมากกว่า 5 ล้านครั้งต่อวัน^{[ 48 ]}ในกรณีเหล่านี้ เครื่องมือหลายอย่างพยายามใช้การตรวจจับแบบ Volumetric แต่การโจมตีด้วยบอทอัตโนมัติในปัจจุบันมีวิธีการหลีกเลี่ยงการกระตุ้นการตรวจจับแบบ Volumetric แล้ว

หนึ่งในเทคนิคสำหรับการตรวจจับการโจมตีจากบอทคือสิ่งที่เรียกว่า "ระบบที่ใช้ลายเซ็น" ซึ่งซอฟต์แวร์จะพยายามตรวจจับรูปแบบในแพ็กเก็ตคำขอ อย่างไรก็ตาม การโจมตีมีการพัฒนาอยู่ตลอดเวลา ดังนั้นวิธีนี้อาจไม่ใช่ทางเลือกที่ใช้ได้ผลเมื่อไม่สามารถแยกแยะรูปแบบจากคำขอหลายพันรายการได้ นอกจากนี้ยังมีวิธีการเชิงพฤติกรรมในการต่อต้านบอท ซึ่งท้ายที่สุดแล้วพยายามแยกแยะบอทออกจากมนุษย์ โดยการระบุพฤติกรรมที่ไม่ใช่มนุษย์และจดจำพฤติกรรมของบอทที่รู้จัก กระบวนการนี้สามารถนำไปใช้ได้ในระดับผู้ใช้ เบราว์เซอร์ และเครือข่าย

วิธีที่มีประสิทธิภาพที่สุดในการใช้ซอฟต์แวร์เพื่อต่อสู้กับไวรัสคือการใช้ ซอฟต์แวร์ ล่อลวง (honeypot software) เพื่อหลอกล่อให้มัลแวร์คิดว่าระบบมีช่องโหว่ จากนั้นจึงนำไฟล์ที่เป็นอันตรายไปวิเคราะห์โดยใช้ซอฟต์แวร์นิติวิทยาศาสตร์

เมื่อวันที่ 15 กรกฎาคม พ.ศ. 2557 คณะอนุกรรมการด้านอาชญากรรมและการก่อการร้ายของคณะกรรมการ^{[ 49 ]}ด้านตุลาการวุฒิสภาสหรัฐอเมริกาได้จัดการพิจารณาคดีเกี่ยวกับภัยคุกคามที่เกิดจากบอทเน็ตและความพยายามของภาครัฐและเอกชนในการขัดขวางและทำลายบอทเน็ตเหล่านั้น^{[ 50 ]}

การเพิ่มขึ้นของอุปกรณ์ IoT ที่เปราะบางส่งผลให้การโจมตีบอทเน็ตบน IoT เพิ่มขึ้น เพื่อแก้ไขปัญหานี้ จึงได้มีการนำวิธีการตรวจจับความผิดปกติบนเครือข่ายแบบใหม่สำหรับ IoT ที่เรียกว่า N-BaIoT มาใช้ โดยจะบันทึกภาพรวมพฤติกรรมของเครือข่ายและใช้ตัวเข้ารหัสอัตโนมัติเชิงลึกเพื่อระบุการรับส่งข้อมูลที่ผิดปกติจากอุปกรณ์ IoT ที่ถูกบุกรุก วิธีการนี้ได้รับการทดสอบโดยการแพร่เชื้อบอทเน็ต Mirai และ BASHLITE ไปยังอุปกรณ์ IoT จำนวน 9 เครื่อง ซึ่งแสดงให้เห็นถึงความสามารถในการตรวจจับการโจมตีที่มาจากอุปกรณ์ IoT ที่ถูกบุกรุกภายในบอทเน็ตได้อย่างแม่นยำและรวดเร็ว^{[ 51 ]}

นอกจากนี้ การเปรียบเทียบวิธีการตรวจจับบอทเน็ตที่แตกต่างกันยังเป็นประโยชน์อย่างมากสำหรับนักวิจัย ช่วยให้พวกเขาเห็นว่าแต่ละวิธีทำงานได้ดีเพียงใดเมื่อเทียบกับวิธีอื่นๆ การเปรียบเทียบแบบนี้เป็นสิ่งที่ดี เพราะช่วยให้นักวิจัยสามารถประเมินวิธีการได้อย่างยุติธรรมและหาวิธีปรับปรุงให้ดียิ่งขึ้น^{[ 52 ]}

บอทเน็ตตัวแรกได้รับการยอมรับและเปิดเผยครั้งแรกโดยEarthLinkในระหว่างการฟ้องร้องกับ Khan C. Smith ผู้ส่งสแปมชื่อดัง^{[ 53 ]}ในปี 2544 บอทเน็ตนี้ถูกสร้างขึ้นเพื่อจุดประสงค์ในการส่งสแปมจำนวนมาก และคิดเป็นเกือบ 25% ของสแปมทั้งหมดในขณะนั้น^{[ 54 ]}

ประมาณปี 2549 เพื่อป้องกันการตรวจจับ บอทเน็ตบางส่วนจึงลดขนาดลง^{[ 55 ]}

ต่อไปนี้เป็นรายชื่อเครือข่ายบอทในอดีตบางส่วน (แต่ไม่ใช่ทั้งหมด)

• นักวิจัยที่มหาวิทยาลัยแคลิฟอร์เนีย ซานตาบาร์บารา สามารถควบคุมบอทเน็ตที่มีขนาดเล็กกว่าที่คาดไว้ถึงหกเท่า ในบางประเทศ เป็นเรื่องปกติที่ผู้ใช้จะเปลี่ยนที่อยู่ IP สองสามครั้งในหนึ่งวัน นักวิจัยมักใช้การประมาณขนาดของบอทเน็ตโดยพิจารณาจากจำนวนที่อยู่ IP ซึ่งอาจนำไปสู่การประเมินที่ไม่ถูกต้อง^{[ 83 ]}

• ความปลอดภัยของคอมพิวเตอร์
• เวิร์มคอมพิวเตอร์
• สแปมบอท
• ลำดับเหตุการณ์ของไวรัสคอมพิวเตอร์และเวิร์ม
• ภัยคุกคามขั้นสูงแบบต่อเนื่อง
• การประมวลผลโดยอาสาสมัคร

• โครงการ Honeynet Project & Research Alliance – "รู้จักศัตรูของคุณ: การติดตามบอทเน็ต"
• มูลนิธิ Shadowserver – กลุ่มเฝ้าระวังความปลอดภัยที่ประกอบด้วยอาสาสมัครทั้งหมด ทำหน้าที่รวบรวม ติดตาม และรายงานเกี่ยวกับมัลแวร์ กิจกรรมบอทเน็ต และการฉ้อโกงทางอิเล็กทรอนิกส์
• EWeek.com – "สงครามบอทเน็ตจบลงแล้วหรือยัง?"
• การจับกุมบอทเน็ต – "ผู้บงการมัลแวร์ SpyEye สารภาพผิด"เอฟบีไอ