Une analyse inactive, également connue sous le nom de balayage de zombies, est utilisée par les pirates pour scanner les ports de protocole de contrôle de transmission (TCP) dans le but de cartographier le système de la victime et de découvrir ses vulnérabilités.Cette attaque est l'une des techniques de piratage les plus sophistiquées, car le pirate n'est pas identifié via son véritable ordinateur, mais via un ordinateur zombie contrôlé qui masque l'emplacement numérique du pirate.La plupart des administrateurs bloquent simplement l'adresse du protocole Internet (IP) du pirate, mais, comme cette adresse appartient à l'ordinateur zombie et non à l'ordinateur réel du pirate, cela ne résout pas le problème.Après avoir effectué la numérisation inactive, la numérisation affichera qu'un port est ouvert, fermé ou bloqué, et le pirate saura où démarrer une attaque.

Une attaque de balayage inactif commence avec le pirate qui prendra le contrôle d'un ordinateur zombie.Un ordinateur zombie peut appartenir à un utilisateur régulier, et que l'utilisateur ne peut avoir aucune idée que son ordinateur est utilisé pour des attaques malveillantes.Le pirate n'utilise pas son propre ordinateur pour faire le scan, donc la victime ne pourra bloquer le zombie, pas le pirate.les ports TCP.Ces ports sont utilisés pour accepter les connexions à partir d'autres machines et sont nécessaires pour effectuer des fonctions informatiques de base.Lorsque le pirate effectue une analyse inactive, le port reviendra comme l'une des trois catégories.Les ports ouverts acceptent les connexions, les ports fermés sont ceux qui refusent les connexions et les ports bloqués ne répondent pas.

Les ports ouverts sont ceux qui recherchent les pirates, mais les ports fermés peuvent également être utilisés pour certaines attaques.Avec un port ouvert, il existe des vulnérabilités avec le programme associé au port.Les ports fermés et les ports ouverts montrent une vulnérabilité avec le système d'exploitation (OS).Le scan inactif lui-même initie rarement l'attaque;Cela montre simplement le pirate où il peut commencer une attaque.

Pour qu'un administrateur défende son serveur ou son site Web, l'administrateur doit travailler avec des pare-feu et des filtres à entrave.L'administrateur doit vérifier pour s'assurer que le pare-feu ne produit pas de séquences IP prévisibles, ce qui facilitera le pirate d'effectuer le scan inactif.Les filtres à entrave doivent être définis pour nier tous les paquets extérieurs, en particulier ceux qui ont la même adresse que le réseau interne du système.