Botnety jsou obvykle pojmenovány podle malwaru pod kterým se šíří, avšak typicky existuje několik souběžných botnetů ovládaných různými lidmi s původem v jednom malwaru. Termín botnet může označovat libovolnou skupinu botů, jako můžou být i legitimní IRC boti. Nejčastěji označuje množinu kompromitovaných počítačů (zvaných zombies) na kterých běží software, o kterém majitel nemusí a zpravidla ani neví. Ten se může nainstalovat jeho ukvapeným klikáním, exploitem v browseru nebo systému. Původce botnetu ({{Vjazyce2Vjazyce|en}} {{Cizojazyčně|en|''bot herder''}}) ovládá skupinu vzdáleně, například přes IRC veřejné servery nebo vlastní. Zkušenější a technicky zdatnější správci si vytváří vlastní protokoly, které mohou být i šifrované a tak se odhalení a nebo vlámání do botnetu stává složitějším. Centrální uzel je v angličtině nazýván command-and-control server (C&C). Bot jako takový je před uživatelem schovaný a používá ke komunikaci s C&C serverem relativně běžné komunikační kanály (IRC, IM, twitter). V prvopočátku původce infikoval několik počítačů pomocí různých zranitelností. Noví boti pak mohou prohlížet své okolí a propagovat se do dalších počítačů opět pomocí zranitelností, nebo třeba slabých hesel. Obecně platí, že čím více slabostí dokáže bot najít v okolí a zneužít, tím se stává pro svého majitele cennějším, protože se lépe vypropaguje do sítě a rychleji rozšíří. Architektura botnetů se časem vyvíjela a ne všechny botnety mají stejnou topologii pro příkazy a ovládání. V závislosti na topologii na které je botnet postaven je různě odolný proti vypnutí, vyčíslení jeho síly a nebo lokalizaci hlavního C&C uzlu. Nicméně některé topologie naopak omezují prodejnost a pronajímatelnost botnetu pro třetí stranu (spammeři). Typické topologie botnetů jsou:
