Uma botnet sinkhole é uma máquina alvo usada por pesquisadores para coletar informações sobre uma botnet específica.
Sinkholing é o redirecionamento do tráfego de seu destino original para um especificado pelos proprietários da botnet. O destino alterado é conhecido como sinkhole (buraco naufragado). (O nome é uma referência a um buraco físico, no qual os itens aparentemente desaparecem.)
Sinkholes podem ser usados para boas ou más intenções. Mais comumente, os buracos são usados para redirecionar zumbis em uma botnet para máquinas de pesquisa especificadas para capturar dados sobre eles.
Em uma botnet centralizada, o buraco de afundamento é simples. A descoberta de um servidor C&C (comando e controle) torna possível o redirecionamento de solicitações DNS para esse servidor para um computador de aplicação da lei ou outra máquina de análise. O servidor DNS especialmente configurado pode simplesmente encaminhar as solicitações dos bots para um servidor C&C falso, onde as solicitações fornecem informações aos pesquisadores sobre a natureza da rede de bots. Para estabelecer este tipo de botnet, os pesquisadores precisam da cooperação do proprietário do DNS usado pela botnet, bem como o conhecimento da botnet e seu C&C server.
Desde que não exista um servidor C&C em uma botnet descentralizada ou P2P (peer-to-peer botnet), o pesquisador tem que detectar seu método de pegar os comandos do proprietário antes de qualquer tentativa de bloquear ou analisar a comunicação da botnet.
Outros métodos usados para efetivamente afundar o tráfego DDoS (negação de serviço distribuída) da botnet incluem o tráfego de redirecionamento local através de mudanças via atualizações do Windows ou para um arquivo hosts.