Una scansione inattiva, nota anche come scansione zombie, viene utilizzata dagli hacker per scansionare le porte TCP (Transmission Control Protocol) nel tentativo di mappare il sistema della vittima e scoprirne le vulnerabilità. Questo attacco è una delle tecniche di hacker più sofisticate, perché l’hacker non viene identificato attraverso il suo computer reale ma attraverso un computer zombie controllato che maschera la posizione digitale dell’hacker. La maggior parte degli amministratori si limita a bloccare l’indirizzo del protocollo Internet (IP) dell’hacker ma, poiché questo indirizzo appartiene al computer zombie e non al computer reale dell’hacker, questo non risolve il problema. Dopo aver eseguito la scansione inattiva, la scansione mostrerà che una porta è aperta, chiusa o bloccata e l’hacker saprà dove iniziare un attacco.
Un attacco di scansione inattiva inizia con l’hacker che prende il controllo di un computer zombie. Un computer zombie può appartenere a un utente normale e quell’utente potrebbe non avere idea che il suo computer venga utilizzato per attacchi dannosi. L’hacker non sta utilizzando il proprio computer per eseguire la scansione, quindi la vittima potrà bloccare solo lo zombi, non l’hacker.
Dopo aver preso il controllo di uno zombi, l’hacker si intrufola nel sistema della vittima e scansiona tutte le porte TCP. Queste porte vengono utilizzate per accettare connessioni da altre macchine e sono necessarie per eseguire le funzioni di base del computer. Quando l’hacker esegue una scansione inattiva, la porta tornerà come una delle tre categorie. Le porte aperte accettano le connessioni, le porte chiuse sono quelle che negano le connessioni e le porte bloccate non rispondono.
Le porte aperte sono quelle che cercano gli hacker, ma anche le porte chiuse possono essere utilizzate per alcuni attacchi. Con una porta aperta, ci sono vulnerabilità con il programma associato alla porta. Le porte chiuse e le porte aperte mostrano vulnerabilità con il sistema operativo (OS). La stessa scansione inattiva raramente avvia l’attacco; mostra solo all’hacker dove può iniziare un attacco.
Affinché un amministratore possa difendere il proprio server o sito Web, l’amministratore deve lavorare con firewall e filtri di ingresso. L’amministratore deve verificare che il firewall non produca sequenze IP prevedibili, il che renderà più semplice per l’hacker eseguire la scansione inattiva. I filtri di ingresso dovrebbero essere impostati per negare tutti i pacchetti esterni, specialmente quelli che hanno lo stesso indirizzo della rete interna del sistema.