Cette méthode est décrite dans le Phrack 49 article 15 par URIEL <lifesux@cox.org>. Elle est similaire au TCP Syn Scan, au lieu d'envoyer un paquet SYN on envoi un FIN, si on obtient en retour un RST c'est que le port est fermé sinon il est ouvert. Une autre méthode consiste à envoyer un ACK, si on reçoit des paquets contenant un TTL4 inférieur au reste des paquets RST reçu, ou si la taille de la fenêtre (Window) est supérieur à zéro cela veut dire que le port est probablement en écoute. Cette méthode est basée sur un bogue dans la plupart des implémentations TCP des systèmes d'exploitation, il se peut donc qu'il soit corrigé.
Il existe d'autre type de scans qui ont été signalés par VECNA <vecna@itapac.net> sur la mailinglist Bugtraq en 2000 (http://www.securityfocus.com) qui utilisent les flags URG, PUSH, URG+FIN, PUSH+FIN ou URG+PUSH qui sont aussi difficilement détectable (un patch implémentant ces fonctionnalités pour nmap est disponible sur http://vecna.unix.kg), il existe malgré tout un patch pour le noyau Linux de HANK LEININGET <hlein@progressive-comp.com> disponible sur http://www.progressive-comp.com/~hlein/hap-linux/