Netværksscanning er en procedure til identifikation af aktive enheder på et netværk ved at anvende en eller flere funktioner i netværksprotokollen til at signalere enheder og afvente et svar. De fleste netværksscanning i dag bruges til overvågning og styring, men scanning kan også bruges til at identificere netværkselementer eller brugere til angreb. De specifikke protokolfunktioner, der bruges til scanning, afhænger af netværket, men til IP-netværk sender scanning normalt en simpel besked (f.eks. en ping) til hver mulig IP-adresse i et bestemt interval og bruger derefter en anden protokol til at hente data på enhederne, hvis der modtages et svar på pingen.
når det bruges af overvågnings-og styringssystemer, bruges scanning til at identificere aktuelle netværksbrugere, bestemme systemernes og enhedernes tilstand og tage en oversigt over netværkselementer. Ofte sammenlignes en opgørelse over enheder med en liste over forventede enheder som et mål for sundhed. Alle disse er legitime ledelsesfunktioner og bruges rutinemæssigt af netværksadministratorer.
Scanning, der bruges af angribere, er afhængig af de samme værktøjer og protokoller som overvågnings – /styringsscanning. En hacker vil normalt først få det IP-adresseområde, der er tildelt et firma ved hjælp af domain name system (DNS) eller hvem er protokollen. Adresser inden for dette adresseområde scannes derefter på udkig efter servere, deres operativsystemer, systemarkitekturen og de tjenester, der kører på hver. Angriberen kan derefter forsøge at bryde målsystemerne og applikationerne.