Skan bezczynności, znany również jako skan zombie, jest wykorzystywany przez hakerów do skanowania portów protokołu kontroli transmisji (TCP) w celu mapowania systemu ofiary i znalezienia jego luk w zabezpieczeniach.Ten atak jest jedną z bardziej wyrafinowanych technik hakerów, ponieważ haker nie jest identyfikowany za pośrednictwem swojego prawdziwego komputera, ale przez kontrolowany komputer zombie, który maskuje cyfrową lokalizację hakera.Większość administratorów po prostu blokuje adres hakera internetowego (IP), ale ponieważ ten adres należy do komputera zombie, a nie do prawdziwego komputera hakera, nie rozwiązuje to problemu.Po wykonaniu skanowania bezczynności skan pokazuje, że port jest otwarty, zamknięty lub zablokowany, a haker będzie wiedział, od czego rozpocząć atak.

Atak skanowania bezczynności rozpoczyna się od hakera przejęcia kontroli nad komputerem zombie.Komputer zombie może należeć do zwykłego użytkownika i że użytkownik może nie mieć pojęcia, że jego komputer jest używany do złośliwych ataków.Haker nie używa własnego komputera do wykonywania skanowania, więc ofiara będzie w stanie zablokować tylko zombie, a nie haker.

Po przejęciu kontroli nad zombie, haker wkradnie się do systemu ofiary i zeskanuje wszystkoporty TCP.Porty te służą do akceptowania połączeń z innych maszyn i są potrzebne do wykonywania podstawowych funkcji komputerowych.Gdy haker wykonuje skanowanie bezczynności, port powróci jako jedna z trzech kategorii.Otwarte porty Akceptuj połączenia, zamknięte porty to te, które odmawiają połączeń, a zablokowane porty nie udzielają odpowiedzi. Otwarte porty to te, których szukają hakerzy, ale do niektórych ataków można również użyć zamkniętych portów.W przypadku otwartego portu istnieją luki w programie powiązanym z portem.Zamknięte porty i otwarte porty wykazują podatność na system operacyjny (OS).Skanowanie bezczynności rzadko inicjuje atak;Po prostu pokazuje hakerowi, w którym on lub ona może rozpocząć atak. Aby administrator mógł obronić swojego serwera lub strony internetowej, administrator musi pracować z zaporami ogniowymi i filtrami wnikania.Administrator powinien sprawdzić, czy zapora nie wytwarza przewidywalnych sekwencji IP, co ułatwi hakerowi wykonanie skanu bezczynności.Należy ustawić filtry Ingress, aby zaprzeczyć wszystkim pakietom zewnętrznym, szczególnie te, które mają ten sam adres, co sieć wewnętrzna systemu.