Wat is een inactieve scan?
Een inactieve scan, ook wel een zombiescan genoemd, wordt door hackers gebruikt om TCP-poorten (Transmission Control Protocol) te scannen in een poging het systeem van het slachtoffer in kaart te brengen en de kwetsbaarheden te achterhalen. Deze aanval is een van de meer geavanceerde hackertechnieken, omdat de hacker niet wordt geïdentificeerd via zijn of haar echte computer, maar via een gecontroleerde zombie-computer die de digitale locatie van de hacker maskeert. De meeste beheerders blokkeren alleen het IP-adres (Internet Protocol) van de hacker, maar omdat dit adres toebehoort aan de zombie-computer en niet aan de echte computer van de hacker, kan dit het probleem niet oplossen. Na het uitvoeren van de inactieve scan, toont de scan dat een poort open, gesloten of geblokkeerd is, en de hacker weet waar hij een aanval moet starten.
Een inactieve scanaanval begint met de hacker die de controle over een zombiecomputer overneemt. Een zombie-computer kan van een gewone gebruiker zijn en die gebruiker heeft misschien geen idee dat zijn of haar computer wordt gebruikt voor kwaadaardige aanvallen. De hacker gebruikt zijn of haar eigen computer niet om de scan uit te voeren, dus het slachtoffer kan alleen de zombie blokkeren, niet de hacker.
Nadat hij de controle over een zombie heeft overgenomen, sluipt de hacker het systeem van het slachtoffer binnen en scant hij alle TCP-poorten. Deze poorten worden gebruikt om verbindingen van andere machines te accepteren en zijn nodig om basiscomputerfuncties uit te voeren. Wanneer de hacker een inactieve scan uitvoert, keert de poort terug als een van de drie categorieën. Open poorten accepteren verbindingen, gesloten poorten zijn verbindingen die verbindingen weigeren en geblokkeerde poorten geven geen antwoord.
Open poorten zijn waarnaar hackers op zoek zijn, maar gesloten poorten kunnen ook voor sommige aanvallen worden gebruikt. Met een open poort zijn er kwetsbaarheden met het programma dat aan de poort is gekoppeld. Gesloten poorten en open poorten vertonen kwetsbaarheid met het besturingssysteem (OS). De inactieve scan zelf start zelden de aanval; het laat de hacker alleen zien waar hij of zij een aanval kan starten.
Voor een beheerder om zijn of haar server of website te verdedigen, moet de beheerder werken met firewalls en binnenkomende filters. De beheerder moet controleren of de firewall geen voorspelbare IP-reeksen produceert, waardoor de hacker de inactieve scan gemakkelijker kan uitvoeren. Ingress-filters moeten worden ingesteld om alle externe pakketten te weigeren, met name die met hetzelfde adres als het interne netwerk van het systeem.