low traffic scans / distributed scans
lIDS werden Portscans ab einer erreichten Grenzschwelle melden.
–ab x Ports / Minute
–ab x Ports in einer Reihe
–ab x Ports vom gleichen Host
lHost-Detection: nmap & Co sind sehr 'laut':
–nmap muss erst offenen und geschlossenen Port finden
–senden von irregulären TCP/IP Paketen
l