Agresor badający dany host, aby ukryć swoje działanie, bardzo często nie ogranicza się do kolejnego sprawdzania portów - większość programów typu IDS (Intrusion Detection Systems) wykrywa sekwencyjne połączenia się z jednego adresu źródłowego do kolejnych portów w krótkich odstępach czasu. Dlatego też są stosowane metody mające na celu ukrycie skanowania w szumie zwykłych połączeń. Do najprostszych należy skanowanie losowych portów, dzięki czemu staje się ono trudniejsze do wykrycia. Inną metodą jest wydłużenie czasu pomiędzy kolejnymi próbami połączenia z następnym portem. Jeszcze inną techniką jest wykorzystywanie fragmentacji pakietów. Dokument RFC791 określa minimalny rozmiar defragmentowanego pakietu na 8 oktetów, czyli znacznie mniej niż nagłówek IP+TCP, przez co flagi TCP znajdują się w innym fragmencie niż nagłówek. Niektóre filtry pakietów nie defragmentują odbieranych danych (choćby z obawy przed atakiem DoS z zastosowaniem bardzo silnej fragmentacji) i dzięki temu zdefragmentowane pakiety nie są odpowiednio analizowane przez filtr. Ochroną przed tego typu atakiem jest uaktywnienie rutera lub zapory ogniowej do defragmentowania wszystkich odbieranych pakietów.

Należy pamiętać, że oprócz wymienionych wyżej metod agresor może fałszować adres źródłowy pakietu, jednak sam musi znajdować się w sieci, do której należy fałszywy adres - w przeciwnym razie rutery prześlą go w inne miejsce.

Niektórzy napastnicy stosują grupowe skanowanie - jednocześnie z wielu miejsc w sieci. To niewątpliwie jedna z najtrudniejszych do wykrycia metod skanowania.

Zobacz także

• Techniki penetracji sieci
  • Fingerprinting
  • Metody skanowania
  • Skanowanie ICMP
  • Skanowanie portów
  • Skanowanie sieci i hostów
  • Techniki Stealth