因为Botnet中感染bot程序的主机并不知道自己被控制，所以在没有Botnet控制者指令的条件下是不会有所行为的，更形象地讲他们的行为更像一个个僵尸。而Botnet在传播和准备发起攻击之前，都会有一些异常的行为，如发送大量的DNS查询（Botnet倾向于使用动态DNS定位C&C服务器，提高系统的健壮性和可用性）、发送大量的连接请求等。一个先进的NIDS系统在这个时候应该能够及时发觉此类异常行为。

    W32/IRCBot-TO是一种后门蠕虫病毒，能允许远程的入侵者获取访问权限进而控制整个计算机，感染主机通常会成为Botnet中的受害者。以下是特定环境下，蜜网（Honeynet）捕获的异常流量交互过程：

    6 <-> TCP 2971 - 445 [SYN, SYN,ACK]

    13 -> SMB Negotiate Protocol Request

    14 <- SMB Negotiate Protocol Response

    17 -> SMB Session Setup AndX Request, NTLMSSP_AUTH, User:

    18 <- SMB Session Setup AndX Response

    19 -> SMB Tree Connect AndX Request, Path: IPC$

    20 <- SMB Tree Connect AndX Response

    21 -> SMB NT Create AndX Request, Path: rowser

    22 <- SMB NT Create AndX Response, FID: 0x4000

    23 -> DCERPC Bind: call_id: 0 UUID: SRVSVC

(责任编辑：)