De novato a novato, no te puedes ir sin un buen Cheat Sheet que te acompañe en tu trayectoria

https://github.com/jasonniebauer/Nmap-Cheatsheet

Hola,

Las botnets en esencia suelen ser equipos infectados de algún troyano o backdoor que una vez infectadas hace a estos dispositivos parte de la red (cabe destacar que pueden ser de distinta arquitectura Cliente-Servidor, Peer to Peer).

Dependiendo de la arquitectura escogida, se requiere de un C&C (Servidor de mando y control), normalmente utilizan IRC, HTTP. Suelen usar DNS Dynamics gratuitas y un algoritmo de generación de subdominios que vinculan con la dirección IP de las máquinas infectadas (para P2P, tengo entendido que cargan una lista de las direcciones que se va compartiendo entre los nodos que conforman dicha red). Por IRC, crean un canal a las cuales se unen las máquinas infectadas esperando recibir ordenes. Aunque esos son los métodos que normalmente encuentras en Internet al describir el comportamiento de ese tipo de malware, es posible utilizar otros agentes para dirigir una botnet (incluso canales de telegram).

Sí.


Anexo   
Ahora, según la creatividad y las necesidades de cada autor varían en...
1. cifrado del tráfico de las ordenes enviadas por el C&C, suelen usar TLS, RC4, AES256, PublicKeys, RSA, DES, pueden verse de forma mixta y con ciertas modificaciones en la lógica del cifrado.

2. Métodos de antiforensia con compilaciones seguras aprovechando la entropía /dev/urandom para generar firmas indecifrables en el código.

3. Hacen mucho uso de la programación modular (ya que esto evita que puedan desmenuzar el funcionamiento interno de la botnet en un análisis estático por parte de un Research)

4. Algunos infectan la MBR y hacen uso de tecnologías rootkit para evitar ser detectado.