Hva er en inaktiv skanning?
En inaktiv skanning, også kjent som en zombieskanning, brukes av hackere til å skanne TCP-porter for overføringskontroll (Protocol Control Protocol) i et forsøk på å kartlegge offerets system og finne ut av sårbarhetene. Dette angrepet er en av de mer sofistikerte hackerteknikkene, fordi hackeren ikke identifiseres gjennom hans eller hennes virkelige datamaskin, men gjennom en kontrollert zombie-datamaskin som maskerer hackerens digitale beliggenhet. De fleste administratorer blokkerer nettopp IP-adressen til hackeren, men siden denne adressen tilhører zombiemaskinen og ikke hackerens virkelige datamaskin, løser ikke dette problemet. Etter å ha utført inaktiv skanning, vil skanningen vise at en port er åpen, lukket eller blokkert, og hackeren vil vite hvor han skal starte et angrep.
Et tomgangsskanneangrep begynner med at hackeren tar kontroll over en zombie-datamaskin. En zombie-datamaskin kan tilhøre en vanlig bruker, og den brukeren har kanskje ingen anelse om at datamaskinen hans blir brukt til ondsinnede angrep. Hackeren bruker ikke sin egen datamaskin for å gjøre skanningen, så offeret vil bare kunne blokkere zombien, ikke hackeren.
Etter å ha tatt kontroll over en zombie, vil hackeren snike seg inn i offerets system og skanne alle TCP-portene. Disse portene brukes til å godta tilkoblinger fra andre maskiner og er nødvendige for å utføre grunnleggende datamaskinfunksjoner. Når hackeren utfører en inaktiv skanning, vil porten returnere som en av tre kategorier. Åpne porter godtar tilkoblinger, lukkede porter er de som nekter tilkoblinger, og blokkerte porter gir ikke noe svar.
Åpne porter er det hackere ser etter, men lukkede porter kan også brukes til noen angrep. Med en åpen port er det sårbarheter med programmet tilknyttet porten. Lukkede porter og åpne porter viser sårbarhet med operativsystemet (OS). Selve inaktiv skanning initierer sjelden angrepet; det viser bare hackeren hvor han eller hun kan starte et angrep.
For at en administrator skal kunne forsvare serveren eller nettstedet sitt, må administratoren jobbe med brannmurer og inntrengningsfilter. Administratoren bør kontrollere at brannmuren ikke produserer forutsigbare IP-sekvenser, noe som vil gjøre det lettere for hackeren å utføre inaktiv skanning. Inntrengningsfilter bør settes inn for å nekte alle eksterne pakker, spesielt de som har samme adresse som systemets interne nettverk.