Creo que el artículo de Wikipedia vinculado lo cubre de manera bastante simple.
Considere a cuántos usuarios domésticos les gusta usar un servicio de DNS dinámico para poder acceder a su computadora sin importar qué IP tenga. La única computadora informa su dirección IP de manera regular, a un servicio que actualiza la entrada de DNS cada vez que la dirección cambia. De esa manera, la entrada del DNS siempre apuntará a esa computadora sin importar dónde esté la computadora o qué IP esté usando.
Ahora toma eso y explóralo en una red de bots que comparte una entrada de DNS. Cada bot toma turnos actuando como la máquina registrada para la entrada de DNS. Se usa un TTL corto en la entrada para que caduque rápidamente y no apunte a la misma IP durante más de unos pocos minutos. Cuando el TTL expira, se registra otro bot. Repita el proceso hasta el infinito hasta que haya terminado de necesitar la entrada de DNS o el Registrar lo cierre.
Esto se usa para evitar el filtrado basado en IP o IDS que, de otro modo, podrían inhibir la funcionalidad del malware u otras herramientas que dependen del acceso a una red controlada por un atacante. La única forma de bloquearlo es si tiene un servidor DNS local que controle que pueda realizar búsquedas ocultas en el dominio de su red, o si un Registrador acepta cerrar el dominio.