Cette technique est la plus simple, elle utilise l'appel à la fonction connect() du système ( connect(2) ). Si la fonction réussie la connexion est établie sinon le port en question est fermé. Il suffit alors d'exécuter cette fonction sur chacun des ports d'une machine afin de déceler ceux qui sont à l'état LISTEN. De plus cette fonction n'exige aucun privilège, n'importe quel utilisateur peut exécuter un tel programme. Par contre cette attaque est facilement décelable, car les fichiers de logs contiendront une tentative de connexion suivie immédiatement par sa fermeture, de plus cette technique ne peut-être spoofée2.