Los piratas informáticos utilizan un escaneo inactivo, también conocido como escaneo zombie, para escanear los puertos del protocolo de control de transmisión (TCP) en un intento de mapear el sistema de la víctima y descubrir sus vulnerabilidades. Este ataque es una de las técnicas de piratas informáticos más sofisticadas, porque el pirata informático no se identifica a través de su computadora real, sino a través de una computadora zombi controlada que enmascara la ubicación digital del pirata informático. La mayoría de los administradores simplemente bloquean la dirección de protocolo de Internet (IP) del pirata informático pero, dado que esta dirección pertenece a la computadora zombi y no a la computadora real del pirata informático, esto no resuelve el problema. Después de realizar el escaneo inactivo, el escaneo mostrará que un puerto está abierto, cerrado o bloqueado, y el hacker sabrá dónde iniciar un ataque.
Un ataque de escaneo inactivo comienza cuando el pirata informático toma el control de una computadora zombi. Una computadora zombi puede pertenecer a un usuario normal, y ese usuario puede no tener idea de que su computadora está siendo utilizada para ataques maliciosos. El pirata informático no está utilizando su propia computadora para realizar el análisis, por lo que la víctima solo podrá bloquear al zombi, no al pirata informático.
Después de tomar el control de un zombi, el pirata informático se infiltrará en el sistema de la víctima y escaneará todos los puertos TCP. Estos puertos se utilizan para aceptar conexiones de otras máquinas y son necesarios para realizar funciones básicas de la computadora. Cuando el pirata informático realiza un escaneo inactivo, el puerto volverá como una de las tres categorías. Los puertos abiertos aceptan conexiones, los puertos cerrados son aquellos que niegan conexiones y los puertos bloqueados no dan respuesta.
Los puertos abiertos son los que buscan los piratas informáticos, pero los puertos cerrados también se pueden usar para algunos ataques. Con un puerto abierto, existen vulnerabilidades con el programa asociado con el puerto. Los puertos cerrados y los puertos abiertos muestran vulnerabilidad con el sistema operativo (SO). El escaneo inactivo en sí mismo rara vez inicia el ataque; simplemente le muestra al pirata informático dónde puede iniciar un ataque.
Para que un administrador defienda su servidor o sitio web, el administrador tiene que trabajar con firewalls y filtros de entrada. El administrador debe verificar para asegurarse de que el firewall no produzca secuencias de IP predecibles, lo que facilitará al pirata informático realizar el escaneo inactivo. Los filtros de entrada deben configurarse para denegar todos los paquetes externos, especialmente aquellos que tienen la misma dirección que la red interna del sistema.