Le balayage de réseau est une procédure d’identification de dispositifs actifs sur un réseau en utilisant une caractéristique ou des caractéristiques dans le protocole réseau pour signaler des dispositifs et attendre une réponse. Aujourd’hui, la plupart des analyses de réseau sont utilisées pour la surveillance et la gestion, mais elles peuvent également être utilisées pour identifier des éléments de réseau ou des utilisateurs à la recherche d’attaques. Les caractéristiques de protocole spécifiques utilisées dans l’analyse dépendent du réseau, mais pour les réseaux IP, l’analyse envoie normalement un message simple (un ping par exemple) à chaque adresse IP possible dans une plage spécifiée, puis utilise un autre protocole pour obtenir des données sur les périphériques si une réponse au ping est reçue.
Lorsqu’il est utilisé par les systèmes de surveillance et de gestion, l’analyse est utilisée pour identifier les utilisateurs actuels du réseau, déterminer l’état des systèmes et des périphériques et dresser un inventaire des éléments du réseau. Souvent, un inventaire d’appareils est comparé à une liste d’appareils attendus comme mesure de la santé. Toutes ces fonctions sont des fonctions de gestion légitimes et sont utilisées de manière routinière par les administrateurs réseau.
L’analyse utilisée par les attaquants repose sur les mêmes outils et protocoles que l’analyse de surveillance/gestion. Un attaquant obtiendrait normalement d’abord la plage d’adresses IP attribuée à une entreprise utilisant le système de noms de domaine (DNS) ou le protocole WHOIS. Les adresses dans cette plage d’adresses seraient ensuite analysées à la recherche de serveurs, de leurs systèmes d’exploitation, de l’architecture du système et des services s’exécutant sur chacun. L’attaquant peut alors tenter de violer les systèmes et applications cibles.