Comme nous l' avons vu précèdemment l'adresse source peut-être spoofée, on ne peut donc s'y fier tant qu'il n'y a pas d'autre preuve. Toutefois, les outils réalisant les port scans laissent parfois filtrer quelques informations qui peuvent être utilisées pour découvrir l'origine réelle du port scan spoofé.
Par exemple, si les paquets que nous recevons possède un TTL à 255, nous pouvons assurément dire qu'il vient de notre réseau local sans se soucier l'adresse source inscrite dans la trame.
Par contre, si le TTL est de 250, nous pouvons seulement dire que les paquets de l'attaquant ont traversés 5 éléments actifs d'un réseau (routeurs, firewalls, etc...), on ne peut donc dire exactement à quelle ``distance'' il se trouve.
Le TTL de départ et le(s) numéro(s) du port source peuvent aussi nous donner un indice sur le type du scanner6 utilisé (pour les scans spoofés) ou le système d'exploitation (pour un scan avec une connexion TCP complète) utilisé par l'attaquant, voir le Phrack 54 article 9 ``OS Finger Print'' de FYODOR <fyodor@dhp.com>. Bien que nous ne pouvons jamais en être sûr. Par exemple, nmap met le TTL à 255 et le port source à 49724, alors que le noyau de Linux met le TTL à 64.