Skanowanie w trybie bezczynności, znane również jako skanowanie zombie, jest wykorzystywane przez hakerów do skanowania portów protokołu kontroli transmisji (TCP) w celu zmapowania systemu ofiary i znalezienia jego słabych punktów. Atak ten jest jedną z bardziej wyrafinowanych technik hakerskich, ponieważ haker nie jest identyfikowany przez swój prawdziwy komputer, ale przez kontrolowany komputer zombie, który maskuje cyfrową lokalizację hakera. Większość administratorów po prostu blokuje adres protokołu internetowego (IP) hakera, ale ponieważ ten adres należy do komputera zombie, a nie prawdziwego komputera hakera, nie rozwiązuje to problemu. Po wykonaniu skanowania w stanie bezczynności, skanowanie pokaże, że port jest otwarty, zamknięty lub zablokowany, a haker będzie wiedział, gdzie rozpocząć atak.
Atak polegający na skanowaniu w trybie bezczynności rozpoczyna się od przejęcia przez hakera kontroli nad komputerem zombie. Komputer zombie może należeć do zwykłego użytkownika, który może nie mieć pojęcia, że jego komputer jest wykorzystywany do złośliwych ataków. Haker nie używa do skanowania własnego komputera, więc ofiara będzie mogła zablokować tylko zombie, a nie hakera.
Po przejęciu kontroli nad zombie haker zakradnie się do systemu ofiary i przeskanuje wszystkie porty TCP. Porty te służą do akceptowania połączeń z innych maszyn i są potrzebne do wykonywania podstawowych funkcji komputera. Gdy haker wykona skanowanie w stanie bezczynności, port powróci jako jedna z trzech kategorii. Otwarte porty akceptują połączenia, zamknięte porty to te, które odmawiają połączeń, a zablokowane porty nie dają odpowiedzi.
Otwarte porty to te, których hakerzy szukają, ale zamknięte porty mogą być również używane do niektórych ataków. W przypadku otwartego portu istnieją luki w programie powiązanym z portem. Zamknięte i otwarte porty wykazują podatność systemu operacyjnego (OS). Samo skanowanie w trybie bezczynności rzadko inicjuje atak; pokazuje tylko hakerowi, gdzie może rozpocząć atak.
Aby administrator mógł chronić swój serwer lub witrynę internetową, administrator musi pracować z zaporami ogniowymi i filtrami wejściowymi. Administrator powinien sprawdzić, czy zapora nie generuje przewidywalnych sekwencji adresów IP, co ułatwi hakerowi wykonanie skanowania w stanie bezczynności. Filtry przychodzące powinny być ustawione tak, aby odrzucać wszystkie pakiety zewnętrzne, zwłaszcza te, które mają ten sam adres, co sieć wewnętrzna systemu.