本发明公开了一种僵尸网络的分布式协同检测系统和方法，所述检测系统由多个协同检测的对等节点组成，并通过HDFS来共享文件；每个节点包括DNS日志分割模块、域名查询周期性分析模块、白名单过滤模块、协同分析模块、HDFS模块和黑名单查询模块。检测方法是以各DNS服务器的DNS日志作为输入，在各节点对本地DNS日志按查询者IP地址进行分割，并通过HDFS进行共享文件，使得同一IP地址的所有DNS行为都能够被一个节点所获取，易于判断对应的IP地址查询的每个域名的查询周期性，从而在白名单过虑后能够判断其是否属于恶意域名，该查询者IP是否属于僵尸网络主机。同时，本发明还提供完整IP黑名单和域名黑名单的查询。