El escaneo de red es un procedimiento para identificar dispositivos activos en una red mediante el empleo de una característica o características en el protocolo de red para señalar dispositivos y esperar una respuesta. Hoy en día, la mayoría de los análisis de red se utilizan para la supervisión y la administración, pero también se pueden usar para identificar elementos de red o usuarios para ataques. Las características específicas del protocolo utilizadas en la exploración dependen de la red, pero para las redes IP, la exploración normalmente envía un mensaje simple (un ping, por ejemplo) a cada posible dirección IP en un rango especificado, y luego usa otro protocolo para obtener datos en los dispositivos si se recibe una respuesta al ping.
Cuando se utiliza en sistemas de supervisión y gestión, el escaneo se utiliza para identificar a los usuarios actuales de la red, determinar el estado de los sistemas y dispositivos y hacer un inventario de los elementos de la red. A menudo, un inventario de dispositivos se compara con una lista de dispositivos esperados como medida de salud. Todas estas son funciones de gestión legítimas y son utilizadas rutinariamente por los administradores de red.
El análisis utilizado por los atacantes se basa en las mismas herramientas y protocolos que el análisis de supervisión/administración. Un atacante normalmente obtendría primero el rango de direcciones IP asignado a una empresa utilizando el sistema de nombres de dominio (DNS) o el protocolo WHOIS. Las direcciones dentro de ese rango de direcciones se escanearían en busca de servidores, sus sistemas operativos, la arquitectura del sistema y los servicios que se ejecutan en cada uno. El atacante puede intentar violar los sistemas y aplicaciones de destino.