La scansione di rete è una procedura per identificare i dispositivi attivi su una rete utilizzando una o più funzionalità nel protocollo di rete per segnalare i dispositivi e attendere una risposta. La maggior parte della scansione di rete oggi viene utilizzata nel monitoraggio e nella gestione, ma la scansione può anche essere utilizzata per identificare gli elementi di rete o gli utenti per gli attacchi. Le funzionalità specifiche del protocollo utilizzate nella scansione dipendono dalla rete, ma per le reti IP la scansione invia normalmente un semplice messaggio (un ping per esempio) a ciascun possibile indirizzo IP in un intervallo specificato e quindi utilizza un altro protocollo per ottenere dati sui dispositivi se viene ricevuta una risposta al ping.
Quando viene utilizzato dai sistemi di monitoraggio e gestione, la scansione viene utilizzata per identificare gli utenti di rete attuali, determinare lo stato dei sistemi e dei dispositivi e fare un inventario degli elementi di rete. Spesso un inventario di dispositivi viene confrontato con un elenco di dispositivi previsti come misura dello stato di salute. Tutte queste sono funzioni di gestione legittime e vengono utilizzate abitualmente dagli amministratori di rete.
La scansione utilizzata dagli aggressori si basa sugli stessi strumenti e protocolli della scansione di monitoraggio/gestione. Un utente malintenzionato normalmente prima ottenere l’intervallo di indirizzi IP assegnato a una società utilizzando il domain Name system (DNS) o il protocollo WHOIS. Gli indirizzi all’interno di tale intervallo di indirizzi verranno quindi scansionati alla ricerca di server, dei loro sistemi operativi, dell’architettura di sistema e dei servizi in esecuzione su ciascuno. L’utente malintenzionato può quindi tentare di violare i sistemi e le applicazioni di destinazione.