Appelée aussi scan à moitié ouvert3, car il ne s'agit pas d'une vraie connexion. Cette technique consiste à envoyer un SYN à un port de la machine cible, et si celle-ci envoie en réponse un SYN-ACK c'est que ce port est ouvert (LISTEN) il faut ensuite envoyé immédiatement un RST afin d'annuler cette connexion, par contre si un RST a été reçu c'est que le port est fermé ou occupé. Cette méthode de scanning est très difficilement décelable car il faudrait détecter au niveau du noyau chaque SYN entrant, par contre l'attaquant doit possèder les privilèges du root afin qu'il puisse envoyer ses propres paquets.