En tomgångsskanning, även känd som en zombieskanning, används av hackare för att skanna TCP-portar (Transmission Control Protocol) i ett försök att kartlägga offrets system och ta reda på dess sårbarheter. Denna attack är en av de mer sofistikerade hackerteknikerna, eftersom hackaren inte identifieras genom sin riktiga dator utan genom en kontrollerad zombiedator som maskerar hackarens digitala plats. De flesta administratörer blockerar bara hackarens Internetprotokolladress (IP), men eftersom denna adress tillhör zombiedatorn och inte hackarens riktiga dator, löser detta inte problemet. Efter att ha utfört tomgångsskanningen kommer skanningen att visa att en port antingen är öppen, stängd eller blockerad, och hackaren vet var en attack ska starta.
En inaktiv skanningsattack börjar med att hackaren tar kontroll över en zombiedator. En zombiedator kan tillhöra en vanlig användare, och den användaren kanske inte har någon aning om att hans eller hennes dator används för skadliga attacker. Hackaren använder inte sin egen dator för att göra skanningen, så offret kommer bara att kunna blockera zombien, inte hackaren.
Efter att ha tagit kontroll över en zombie kommer hackaren att smyga sig in i offrets system och skanna alla TCP-portar. Dessa portar används för att acceptera anslutningar från andra maskiner och behövs för att utföra grundläggande datorfunktioner. När hackaren utför en inaktiv skanning kommer porten att återgå som en av tre kategorier. Öppna portar accepterar anslutningar, stängda portar är de som nekar anslutningar och blockerade portar ger inget svar.
Öppna portar är de som hackare letar efter, men stängda portar kan också användas för vissa attacker. Med en öppen port finns det sårbarheter med programmet som är kopplat till porten. Stängda portar och öppna portar visar sårbarhet med operativsystemet (OS). Själva tomgångsskanningen initierar sällan attacken; det visar bara hackaren var han eller hon kan starta en attack.
För att en administratör ska kunna försvara sin server eller webbplats måste administratören arbeta med brandväggar och intrångsfilter. Administratören bör kontrollera att brandväggen inte producerar förutsägbara IP-sekvenser, vilket kommer att göra det enklare för hackaren att utföra inaktiv skanning. Ingressfilter bör ställas in för att neka alla externa paket, särskilt de som har samma adress som systemets interna nätverk.