Un port scan demande à l'attaquant de scanner un grand nombre de ports, y compris ceux ne pouvant être écoutés (il s'agit des ports < 1024). Une signature qui peut-être utilisée pour détecter les port scans est : ``un grand nombre de paquets envoyés à diffèrents ports de destinations sur une même machine, venant de la même adresse dans une courte période''.
Une autre signature peut-être ``SYN envoyé à un port qui n'est pas en LISTEN (attente de connexion)''. Il n'existe que très peu de façon de détecter ce genre d'attaque, à part l'enregistrement de l'entête de tout les paquets dans un fichier et les analyser à la main, ceci est bien entendu irréalisable par un humain.
Pour dissimuler une attaque, l'attaquant peut effectuer son scan très lentement. A moins que la machine victime soit normalement inoccupée (dans ce cas un paquet envoyé à un port n'écoutant pas est suffisant pour qu'il soit remarqué par l'administrateur, comme n'étant pas une situation réelle), il est possible de mettre un délai suffisament long entre deux ports pour qu'il ne soit pas identifié comme un scan.
Une façon de cacher l'origine d'un scan est d'envoyer un nombre important (par exemple 999) de port scans spoofés, et seulement un avec la véritable adresse source. Même si tout les scans (1000) ont été détectés et enregistrés, il n'y a aucune possibilité de savoir laquelle de toutes ces adresses est la vrai. La seule chose que l'on peut dire c'est que l'on vient d'être victime d'un port scan.
Même si ces attaques sont possibles, il est évident quelles demandent plus de temps et de ressources à l'attaquant pour l'exécuter. Quelques un ne choisiront pas une telle attaque aussi lente et/ou compliquée, tandis que d'autres y mettrons le temps qu'il faut. Ceci est l'unique raison nous permettant de dire que l'on peut détecter les port scans (les seuls détectables).
La possibilité de telles attaques indique que notre but n'est pas de détecter tout les port scans (ce qui est impossible), mais plutôt, à mon avis, de détecter autant de techniques de port scan que possible tant qu'il en reste d'assez fiable.