Das Intrusion-Detection System versucht Portscans zu erkennen, zu melden und geeignet auf den Angriff zu reagieren. Dies geschieht ähnlich der Erkennung eines ’SYN Flooding’-Angriffs (siehe SYN Flooding): Es werden auch hier die “halboffenen” Verbindungen gezählt, wobei ein TCP-Reset, das vom gescannten Rechner gesendet wird, die “halboffene” Verbindung weiterhin offen lässt.
Wenn eine bestimmte Anzahl von halboffenen Verbindungen zwischen dem gescannten und dem scannenden Rechner existiert, so wird dies als Portscan gemeldet.
Ebenso wird der Empfang von leeren UDP-Paketen als versuchter Portscan interpretiert.
