nätverksskanning är en procedur för att identifiera aktiva enheter i ett nätverk genom att använda en funktion eller funktioner i nätverksprotokollet för att signalera enheter och vänta på ett svar. De flesta nätverksskanning idag används i övervakning och hantering, men skanning kan också användas för att identifiera nätverkselement eller användare för attacker. De specifika protokollfunktionerna som används vid skanning beror på nätverket, men för IP-nätverk skickar skanning normalt ett enkelt meddelande (t.ex. en ping) till varje möjlig IP-adress i ett angivet intervall och använder sedan ett annat protokoll för att få data på enheterna om ett svar på pingen tas emot.
när den används av övervaknings-och hanteringssystem används skanning för att identifiera nuvarande nätverksanvändare, bestämma tillståndet för system och enheter och ta en inventering av nätverkselement. Ofta jämförs en inventering av enheter mot en lista över förväntade enheter som ett mått på hälsa. Alla dessa är legitima hanteringsfunktioner och används rutinmässigt av nätverksadministratörer.
skanning som används av angripare bygger på samma verktyg och protokoll som övervakning/hanteringsskanning. En angripare skulle normalt först få det IP-adressintervall som tilldelats ett företag med hjälp av domännamnssystemet (DNS) eller whois-protokollet. Adresser inom det adressintervallet skulle sedan skannas och leta efter servrar, deras operativsystem, systemarkitekturen och de tjänster som körs på var och en. Angriparen kan sedan försöka bryta mot målsystemen och applikationerna.