Penso che l'articolo di Wikipedia collegato lo copra abbastanza semplicemente.
Considera quanti utenti domestici amano utilizzare un servizio di DNS dinamico per poter raggiungere il proprio computer indipendentemente dall'IP che ha. L'unico computer riporta il suo indirizzo IP su base regolare, a un servizio che aggiorna la voce DNS ogni volta che cambia l'indirizzo. In questo modo, la voce DNS punta sempre a quel computer, indipendentemente da dove si trova il computer o da quale IP sta usando.
Ora prendilo e fallo esplodere in una botnet che condivide una voce DNS. Ogni bot a turno agisce come macchina registrata per la voce DNS. Un breve TTL viene utilizzato sulla voce in modo che scada rapidamente e non punti allo stesso IP per più di pochi minuti. Quando il TTL scade, viene registrato un altro bot. Ripeti il processo all'infinito fino a quando non hai finito di aver bisogno della voce DNS o il Registrar ti spegne.
Viene utilizzato per aggirare i filtri o IDS basati su IP che potrebbero altrimenti inibire la funzionalità di malware o altri strumenti che si basano sull'accesso a una rete controllata da un aggressore. L'unico modo per bloccarlo è se hai un server DNS locale che controlli che può effettuare ricerche black-hole sul dominio della tua rete, o se un Registrar acconsente a chiudere il dominio.