Netzwerk-Scanning ist ein Verfahren zum Identifizieren aktiver Geräte in einem Netzwerk, indem ein Merkmal oder Merkmale im Netzwerkprotokoll verwendet werden, um Geräte zu signalisieren und auf eine Antwort zu warten. Die meisten Netzwerk-Scans werden heute zur Überwachung und Verwaltung verwendet, aber das Scannen kann auch verwendet werden, um Netzwerkelemente oder Benutzer für Angriffe zu identifizieren. Bei IP-Netzwerken sendet das Scannen jedoch normalerweise eine einfache Nachricht (z. B. einen Ping) an jede mögliche IP-Adresse in einem bestimmten Bereich und verwendet dann ein anderes Protokoll, um Daten auf den Geräten abzurufen, wenn eine Antwort auf den Ping empfangen wird.
Bei Verwendung durch Überwachungs- und Verwaltungssysteme wird das Scannen verwendet, um aktuelle Netzwerkbenutzer zu identifizieren, den Status von Systemen und Geräten zu bestimmen und eine Bestandsaufnahme der Netzwerkelemente vorzunehmen. Oft wird ein Inventar von Geräten mit einer Liste erwarteter Geräte verglichen, um den Zustand zu messen. All dies sind legitime Verwaltungsfunktionen und werden routinemäßig von Netzwerkadministratoren verwendet.
Von Angreifern verwendete Scans basieren auf denselben Tools und Protokollen wie Überwachungs-/Verwaltungsscans. Ein Angreifer erhält normalerweise zuerst den IP-Adressbereich, der einem Unternehmen über das Domain Name System (DNS) oder das WHOIS-Protokoll zugewiesen wurde. Adressen innerhalb dieses Adressbereichs würden dann nach Servern, deren Betriebssystemen, der Systemarchitektur und den darauf ausgeführten Diensten gesucht. Der Angreifer kann dann versuchen, die Zielsysteme und -anwendungen zu durchbrechen.