El sumidero de DNS es un proveedor de DNS que suministra resultados falsos a sistemas que buscan información de DNS, lo que permite a un atacante redirigir un sistema a un destino potencialmente malicioso. También se han utilizado históricamente para fines no maliciosos.

Cuando una computadora visita una servidor de DNS para resolver un nombre de dominio, el proveedor dará un resultado si es posible, y si no, enviará el sistema de resolución a un proveedor de nivel superior para intentarlo nuevamente. Cuanto más alto sea un sumidero de DNS en esta cadena, más solicitudes recibirá y más impacto tendrá.

Un sumidero de DNS es un servidor DNS estándar que se ha configurado para distribuir direcciones no enrutables para todos los dominios en el sumidero de DNS, de modo que cada computadora que lo utilice no logre acceder al sitio web real.^[2]​ Cuanto más arriba se encuentre el servidor DNS, más computadoras bloqueará. Algunos de los botnets más grandes se han vuelto inutilizables por los agujeros de dominio de nivel superior (TLD) que abarcan todo Internet.^[3]​ Los sumideros de DNS son efectivos para detectar y bloquear el tráfico malicioso, y se usan para combatir bots y otro tipo de tráfico no deseado.

De forma predeterminada, una computadora con Windows, Unix o Linux comprueba un archivo de hosts local antes que los servidores DNS, por lo que también se puede usar para bloquear sitios de la misma manera.

Es habitual el uso de sumidero de DNS para defenderse contra malware. Por ejemplo:

• Para contener malware (ej. WannaCry y Avalanche).^[4]​
• Para impedir el acceso a sitios desde donde se controla una botnet. Se impide el acceso a estos sitios maliciosos devolviendo direcciones IP falsas o nulas como respuesta a peticiones de DNS intentado resolver los dominios que los bots tienen programados para usar para la coordinación.^[5]​
• Para interrumpir ataque DoS.