Una botnet sinkhole è una macchina target utilizzata dai ricercatori per raccogliere informazioni su una particolare botnet.
Sinkholing è il reindirizzamento del traffico dalla sua destinazione originale a quella specificata dai proprietari della dolina. La destinazione modificata è nota come dolina. (Il nome è un riferimento a una dolina fisica, in cui gli oggetti apparentemente scompaiono.)
I pozzi possono essere usati per buone o cattive intenzioni. Più comunemente, i sinkhole vengono utilizzati per reindirizzare gli zombi in una botnet a specifiche macchine di ricerca per acquisire dati su di loro.
In una botnet centralizzata, il sinkholing è semplice. La scoperta di un server C&C (comando e controllo) rende possibile reindirizzare le richieste DNS per quel server a un computer delle forze dell'ordine o ad un'altra macchina di analisi. Il server DNS appositamente configurato può semplicemente instradare le richieste dei bot a un falso server C&C, dove le richieste forniscono informazioni ai ricercatori sulla natura della botnet. Per stabilire questo tipo di botnet sinkhole, i ricercatori necessitano della collaborazione del proprietario del DNS utilizzato dalla botnet, nonché della conoscenza della botnet e del suo server C&C.
Poiché non esiste un server C&C in una botnet decentralizzata o P2P (botnet peer-to-peer), il ricercatore deve rilevare il proprio metodo di raccolta dei comandi del proprietario prima di poter tentare di bloccare o analizzare la comunicazione della botnet.
Altri metodi utilizzati per affondare efficacemente il traffico DDoS (Distributed Denial of Service) della botnet includono il reindirizzamento locale del traffico attraverso le modifiche tramite gli aggiornamenti di Windows oa un file host.