lIDS werden Portscans ab einer erreichten Grenzschwelle
melden.
–ab
x Ports / Minute
–ab
x Ports in einer Reihe
–ab
x Ports vom gleichen Host
lHost-Detection: nmap & Co sind sehr 'laut':
–nmap
muss erst offenen und geschlossenen Port finden
–senden
von irregulären TCP/IP Paketen
l