Skeniranje u stanju mirovanja, također poznato kao zombi skeniranje, hakeri koriste za skeniranje portova protokola kontrole prijenosa (TCP) u pokušaju mapiranja sustava žrtve i otkrivanja njegovih ranjivosti. Ovaj napad je jedna od sofisticiranijih hakerskih tehnika, jer se haker ne identificira putem njegovog ili njezinog stvarnog računala, već putem kontroliranog zombi računala koje maskira hakerovu digitalnu lokaciju. Većina administratora samo blokira adresu internetskog protokola (IP) hakera, ali budući da ova adresa pripada zombi računalu, a ne hakerovom pravom računalu, to ne rješava problem. Nakon izvođenja skeniranja u stanju mirovanja, skeniranje će pokazati da je port otvoren, zatvoren ili blokiran, a haker će znati gdje započeti napad.
Napad skeniranja u stanju mirovanja počinje tako što haker preuzima kontrolu nad zombi računalom. Zombi računalo može pripadati običnom korisniku, a taj korisnik možda nema pojma da se njegovo ili njezino računalo koristi za zlonamjerne napade. Haker ne koristi svoje računalo za skeniranje, tako da će žrtva moći blokirati samo zombija, a ne hakera.
Nakon što preuzme kontrolu nad zombijem, haker će se ušuljati u žrtvin sustav i skenirati sve TCP portove. Ovi se priključci koriste za prihvaćanje veza s drugih strojeva i potrebni su za obavljanje osnovnih računalnih funkcija. Kada haker izvrši skeniranje u stanju mirovanja, port će se vratiti kao jedna od tri kategorije. Otvoreni portovi prihvaćaju veze, zatvoreni portovi su oni koji odbijaju veze, a blokirani portovi ne daju odgovor.
Otvoreni portovi su oni koje hakeri traže, ali zatvoreni portovi također se mogu koristiti za neke napade. S otvorenim portom, postoje ranjivosti s programom povezanim s portom. Zatvoreni i otvoreni portovi pokazuju ranjivost operativnog sustava (OS). Samo skeniranje u stanju mirovanja rijetko inicira napad; samo pokazuje hakeru gdje on ili ona mogu započeti napad.
Da bi administrator branio svoj poslužitelj ili web stranicu, administrator mora raditi s vatrozidima i ulaznim filtrima. Administrator bi trebao provjeriti da vatrozid ne proizvodi predvidljive IP sekvence, što će hakeru olakšati izvođenje skeniranja u stanju mirovanja. Ulazne filtre treba postaviti tako da odbijaju sve vanjske pakete, posebno one koji imaju istu adresu kao interna mreža sustava.