O scanare inactivă, cunoscută și ca scanare zombi, este folosită de hackeri pentru a scana porturile protocolului de control al transmisiei (TCP) în încercarea de a mapa sistemul victimei și de a afla vulnerabilitățile acesteia. Acest atac este una dintre cele mai sofisticate tehnici de hacker, deoarece hackerul nu este identificat prin computerul său real, ci printr-un computer zombi controlat care maschează locația digitală a hackerului. Majoritatea administratorilor doar blochează adresa de protocol de Internet (IP) a hackerului, dar, deoarece această adresă aparține computerului zombi și nu computerului real al hackerului, acest lucru nu rezolvă problema. După efectuarea scanării inactiv, scanarea va arăta că un port este fie deschis, închis sau blocat, iar hackerul va ști de unde să înceapă un atac.
Un atac de scanare inactiv începe cu hackerul care preia controlul asupra unui computer zombi. Un computer zombi poate aparține unui utilizator obișnuit, iar acel utilizator poate să nu aibă idee că computerul său este folosit pentru atacuri rău intenționate. Hackerul nu își folosește propriul computer pentru a face scanarea, așa că victima va putea bloca doar zombiul, nu hackerul.
După ce preia controlul asupra unui zombi, hackerul se va strecura în sistemul victimei și va scana toate porturile TCP. Aceste porturi sunt folosite pentru a accepta conexiuni de la alte mașini și sunt necesare pentru a îndeplini funcțiile de bază ale computerului. Când hackerul efectuează o scanare inactivă, portul va reveni la una dintre cele trei categorii. Porturile deschise acceptă conexiuni, porturile închise sunt cele care refuză conexiunile, iar porturile blocate nu dau niciun răspuns.
Porturile deschise sunt cele pe care le caută hackerii, dar și porturile închise pot fi folosite pentru unele atacuri. Cu un port deschis, există vulnerabilități cu programul asociat cu portul. Porturile închise și porturile deschise arată vulnerabilitate cu sistemul de operare (OS). Scanarea inactivă în sine inițiază rar atacul; arată doar hackerului unde poate începe un atac.
Pentru ca un administrator să-și apere serverul sau site-ul web, administratorul trebuie să lucreze cu firewall-uri și filtre de intrare. Administratorul ar trebui să verifice pentru a se asigura că firewall-ul nu produce secvențe IP previzibile, ceea ce va face mai ușor pentru hacker să efectueze scanarea inactivă. Filtrele de intrare ar trebui să fie setate să interzică toate pachetele externe, în special cele care au aceeași adresă ca și rețeaua internă a sistemului.