في Zombie Scan (أو Idle Scan)، مش محتاج تعمل مسح (scan) على جهاز الزومبي عشان تعرف المنافذ اللي مفتوحة عليه قبل ما تبدأ الهجوم. الفكرة كلها إنك بتستغل جهاز الزومبي لأنه مش بيعمل حاجة (يعني في حالة “Idle”)، وبتراقب الرقم الخاص بالـ IP ID اللي بيتغير مع كل اتصال يتعمل معاه.

العملية بتحصل كده:

إنت بتبعت بيانات (packets) للهدف (target) لكن بتخليها كأنها جاية من جهاز الزومبي.
الهدف بيرد على جهاز الزومبي، والزومبي أصلاً مش عارف إن في حاجة بتتحصل باسمه.
عن طريق متابعة تغيّر الرقم بتاع الـ IP ID لجهاز الزومبي، بتقدر تعرف إذا كان المنفذ اللي عند الهدف مفتوح أو مقفول.

فبالتالي، مش ضروري تعرف المنافذ المفتوحة على جهاز الزومبي الأول. الأداة اللي بتستخدمها (زي Nmap) هي اللي بتتولى الموضوع ده وتتعامل مع الردود عشان تحدد إذا كان الهدف بيرد أو لأ باستخدام الزومبي كوسيط.

أما بخصوص الإشارات اللي بتطلع، هي اسمها segments مش packets. الـ segments دي اللي بتتعلق بالـ TCP/UDP (الطبقة الرابعة في النظام بتاع الشبكات)، في حين إن الـ packets هي بتشمل حاجات من طبقات تانية زي الـ IP اللي هو في الطبقة الثالثة.

يعني:

مش لازم تعمل مسح على الزومبي الأول.
الإشارات اللي بتتعامل معاها في الـ Zombie Scan اسمها TCP/UDP segments.