Una scansione inattiva, nota anche come scansione di zombi, viene utilizzata dagli hacker per scansionare le porte del protocollo di controllo della trasmissione (TCP) nel tentativo di mappare il sistema della vittima e scoprire le sue vulnerabilità.Questo attacco è una delle tecniche di hacker più sofisticate, perché l'hacker non è identificato attraverso il suo vero computer ma attraverso un computer di zombi controllato che maschera la posizione digitale dell'hacker.La maggior parte degli amministratori blocca solo l'indirizzo IP (Internet Protocol) dell'hacker ma, poiché questo indirizzo appartiene al computer zombi e non al vero computer dell'hacker, questo non risolve il problema.Dopo aver eseguito la scansione inattiva, la scansione mostrerà che una porta è aperta, chiusa o bloccata e l'hacker saprà dove iniziare un attacco.

Un attacco di scansione inattivo inizia con l'hacker che prende il controllo di un computer di zombi.Un computer di zombi può appartenere a un utente normale e quell'utente potrebbe non avere idea che il suo computer venga utilizzato per attacchi dannosi.L'hacker non sta usando il proprio computer per eseguire la scansione, quindi la vittima sarà in grado di bloccare solo lo zombi, non l'hacker.

Dopo aver preso il controllo di uno zombi, l'hacker si intruforà nel sistema della vittima e scansionerà tuttole porte TCP.Queste porte vengono utilizzate per accettare connessioni da altre macchine e sono necessarie per eseguire funzioni informatiche di base.Quando l'hacker esegue una scansione inattiva, la porta tornerà come una delle tre categorie.Le porte aperte accettano connessioni, le porte chiuse sono quelle che negano connessioni e le porte bloccate non forniscono alcuna risposta.

Le porte aperte sono quelle che cercano gli hacker, ma le porte chiuse possono anche essere utilizzate per alcuni attacchi.Con una porta aperta, ci sono vulnerabilità con il programma associato alla porta.Le porte chiuse e le porte aperte mostrano vulnerabilità con il sistema operativo (OS).La stessa scansione inattiva inizia raramente l'attacco;Mostra solo l'hacker in cui può iniziare un attacco.

Per un amministratore per difendere il proprio server o sito Web, l'amministratore deve lavorare con firewall e filtri di ingresso.L'amministratore dovrebbe verificare che il firewall non produca sequenze IP prevedibili, il che renderà più facile per l'hacker eseguire la scansione inattiva.I filtri di ingresso dovrebbero essere impostati per negare tutti i pacchetti esterni, in particolare quelli che hanno lo stesso indirizzo della rete interna del sistema.