Una botnet è una rete che include un numero di dispositivi connessi a Internet, chiamati bot. Il termine "botnet" è composto dalle parole "robot" e "network". Ciascuno dei dispositivi citati in precedenza è stato infettato con malware che consentono all'aggressore di controllarli in remoto. Perciò, le botnet possono essere usate per eseguire attacchi DDoS (distributed denial-of-service), sottrarre dati, inviare spam e consentire all'aggressore di accedere al dispositivo e alla sua connessione.
Il bot contatta un server remote — o si mette semplicemente in contatto con altri bot — vicini e attende istruzioni da chiunque controlli la botnet. Ciò consente a un aggressore di controllare un vasto numero di computer per scopi dannosi.
In genere, le botnet sono sparse in tutto il mondo, il che significa che ogni dispositivo deve essere identificato/isolato/riparato individualmente. Una delle tecniche per rilevare gli attacchi bot è quella nota come "sistemi basati sulle firme", in cui il software tenterà di rilevare i modelli nel pacchetto di richieste. Tuttavia, poiché gli attacchi stanno diventando sempre più complessi, tale metodo non è più un'opzione valida perché i modelli non possono essere distinti da migliaia di richieste.
Esiste anche un approccio comportamentale per bloccare i bot, che in definitiva cerca di distinguere gli uomini dalle macchine. Identificare un comportamento non umano e riconoscere un comportamento di un bot noto, tale processo può essere applicato a un utente, un browser e ai livelli della rete.