Ciekawą metodą jest technika RESET. Ma ona na celu sprawdzenie topologii sieci - określenie, jakie hosty istnieją w danej podsieci. W typowym przypadku ruter, po otrzymaniu pakietu skierowanego do celu, który nie istnieje, wysyła pakiet ICMP HOST UNREACHABLE lub TIME EXCEEDED. Można do tego celu wykorzystać dowolny pakiet IP, ale jeżeli będzie on typowy (np. SYN/ACK czy ICMP ECHO REQUEST), to zostanie odnotowany. Jeżeli zostanie wysłany pakiet z flagą RST z losowym numerem ACK, to prawdopodobnie nie będzie zauważony, a wygeneruje interesujący agresora komunikat.

Inną, również ciekawą, metodą skanowania jest technika FTP Bounce Scanning, wykorzystująca serwer FTP jako serwer proxy połączenia. Wykorzystuje ona właściwość protokołu FTP, określoną przez RFC959, polegającą na tym, że serwery FTP mogą wysyłać dane do hosta innego niż źródłowy.

Do skanowania portów zostaje użyta komenda PORT, precyzująca port docelowy w trybie pasywnego połączenia. Jeżeli następnie zostanie wydana komenda LIST FTP, to wynik zostanie przesłany do klienta (atakującego). Jeżeli transfer powiódł się, to zostanie otrzymamy komunikat 150 i/lub 226, co oznacza, że docelowy port na hoście jest aktywny. W przeciwnym przypadku pojawi się 425 Can't build data connection: Connection refused - co oznacza, że port jest zamknięty.

Jest to bardzo skuteczna metoda ukrywająca adres źródłowy atakującego i możliwa do wykonania bez uprawnień superużytkownika. Jedną z wad jest to, że nie wszystkie serwery FTP mają zaimplementowaną lub aktywną usługę PROXY. Inną jej wadą jest powolność.

Oprócz skanowania portów dla agresora ważne są również uprawnienia, z jakimi pracuje dana usługa. Do tego celu wykorzystywana jest technika Reverse Ident Scanning.

Do określenia, z prawami jakiego użytkownika pracuje dana usługa, wykorzystuje ona właściwości protokołu ident (RFC1413). Jest to bardzo ważna informacja dla agresora - największe znaczenie mają dla niego usługi pracujące na prawach superużytkownika, a to dlatego, że atak na taką usługę (np. przez przepełnienie bufora lub nadpisanie stosu) umożliwi mu otrzymanie uprawnień równych użytkownikowi danego procesu. Sposób jej użycia nie różni się zasadniczo od standardowych działań ident - po połączeniu się z daną usługą zostaje wysłane zapytanie do ident o zidentyfikowanie połączenia - w odpowiedzi otrzymuje się "użytkownika", z którego uprawnieniami pracuje serwer danej usługi.

Metody skanowania

Agresor badający dany host, aby ukryć swoje działanie, bardzo często nie ogranicza się do kolejnego sprawdzania portów - większość programów typu IDS (Intrusion Detection Systems) wykrywa sekwencyjne połączenia się z jednego adresu źródłowego do kolejnych portów w krótkich odstępach czasu. Dlatego też są stosowane metody mające na celu ukrycie skanowania w szumie zwykłych połączeń. Do najprostszych należy skanowanie losowych portów, dzięki czemu staje się ono trudniejsze do wykrycia. Inną metodą jest wydłużenie czasu pomiędzy kolejnymi próbami połączenia z następnym portem, np. dwóch pakietów na dzień. Jeszcze inną techniką jest wykorzystywanie fragmentacji pakietów. Dokument RFC791 określa minimalny rozmiar defragmentowanego pakietu na 8 oktetów, czyli znacznie mniej niż nagłówek IP+TCP, przez co flagi TCP znajdują się w innym fragmencie niż nagłówek. Niektóre filtry pakietów nie defragmentują odbieranych danych (choćby z obawy przed atakiem DoS z zastosowaniem bardzo silnej fragmentacji) i dzięki temu zdefragmentowane pakiety nie są odpowiednio analizowane przez filtr. Ochroną przed tego typu atakiem jest uaktywnienie rutera lub zapory ogniowej do defragmentowania wszystkich odbieranych pakietów.

Należy pamiętać, że oprócz wymienionych wyżej metod agresor może fałszować adres źródłowy pakietu, zmieniając go na inny niż rzeczywisty. Metoda ta ma tę wadę, że musi on znajdować się w sieci, do której należy fałszywy adres - w przeciwnym wypadku rutery prześlą go w inne miejsce.

Niektórzy napastnicy stosują grupowe skanowanie - jednocześnie z wielu, często bardzo odległych miejsc w sieci. Jest to niewątpliwie jedna z najtrudniejszych do wykrycia metod skanowania.