Los hackers utilizan un escaneo inactivo, también conocido como escaneo de zombies, para escanear los puertos del protocolo de control de transmisión (TCP) en un intento de mapear el sistema de la víctima y descubrir sus vulnerabilidades. Este ataque es una de las técnicas de piratería más sofisticadas, porque el pirata informático no se identifica a través de su computadora real sino a través de una computadora zombie controlada que enmascara la ubicación digital del pirata informático. La mayoría de los administradores simplemente bloquean la dirección de protocolo de Internet (IP) del pirata informático pero, dado que esta dirección pertenece a la computadora zombie y no a la computadora real del pirata informático, esto no resuelve el problema. Después de realizar la exploración inactiva, la exploración mostrará que un puerto está abierto, cerrado o bloqueado, y el pirata informático sabrá dónde comenzar un ataque.

Un ataque de exploración inactivo comienza con el pirata informático tomando el control de una computadora zombie. Una computadora zombie puede pertenecer a un usuario normal, y ese usuario puede no tener idea de que su computadora está siendo utilizada para ataques maliciosos. El hacker no está usando su propia computadora para hacer el escaneo, por lo que la víctima solo podrá bloquear al zombie, no al hacker.

Después de tomar el control de un zombie, el hacker se colará en el sistema de la víctima y escaneará todos los puertos TCP. Estos puertos se utilizan para aceptar conexiones de otras máquinas y son necesarios para realizar funciones básicas de la computadora. Cuando el hacker realiza una exploración inactiva, el puerto volverá como una de las tres categorías. Los puertos abiertos aceptan conexiones, los puertos cerrados son aquellos que niegan las conexiones y los puertos bloqueados no responden.

Los puertos abiertos son los que buscan los hackers, pero los puertos cerrados también se pueden usar para algunos ataques. Con un puerto abierto, hay vulnerabilidades con el programa asociado con el puerto. Los puertos cerrados y los puertos abiertos muestran vulnerabilidad con el sistema operativo (SO). La exploración inactiva en sí rara vez inicia el ataque; solo le muestra al hacker dónde puede comenzar un ataque.

Para que un administrador defienda su servidor o sitio web, el administrador debe trabajar con firewalls y filtros de ingreso. El administrador debe verificar para asegurarse de que el cortafuegos no produzca secuencias de IP predecibles, lo que facilitará que el pirata informático realice la exploración inactiva. Los filtros de entrada deben configurarse para denegar todos los paquetes externos, especialmente aquellos que tienen la misma dirección que la red interna del sistema.