Netwerkscanning is een procedure voor het identificeren van actieve apparaten op een netwerk door gebruik te maken van een of meer functies in het netwerkprotocol om apparaten te signaleren en een reactie af te wachten. De meeste netwerkscanning wordt tegenwoordig gebruikt in monitoring en beheer, maar scannen kan ook worden gebruikt om netwerkelementen of gebruikers op aanvallen te identificeren. De specifieke protocolfuncties die bij het scannen worden gebruikt, zijn afhankelijk van het netwerk, maar voor IP-netwerken stuurt het scannen normaal gesproken een eenvoudig bericht (een ping bijvoorbeeld) naar elk mogelijk IP-adres in een opgegeven bereik, en gebruikt vervolgens een ander protocol om gegevens op de apparaten te verkrijgen als een antwoord op de ping wordt ontvangen.
bij gebruik door monitoring-en beheersystemen wordt scanning gebruikt om de huidige netwerkgebruikers te identificeren, de toestand van systemen en apparaten te bepalen en een inventaris van netwerkelementen op te maken. Vaak wordt een inventaris van apparaten vergeleken met een lijst van verwachte apparaten als maatstaf voor de gezondheid. Dit zijn allemaal legitieme beheerfuncties en worden routinematig gebruikt door netwerkbeheerders.
Scanning gebruikt door aanvallers is gebaseerd op dezelfde tools en protocollen als monitoring/management scanning. Een aanvaller zou normaal gesproken eerst het IP-adresbereik verkrijgen dat is toegewezen aan een bedrijf met behulp van het domain name system (DNS) of het WHOIS-protocol. Adressen binnen dat adresbereik zouden dan worden gescand op zoek naar servers, hun besturingssystemen, de systeemarchitectuur en de services die op elke server draaien. De aanvaller kan dan proberen om de doelsystemen en toepassingen te breken.