Scanner FIN

Karena sebuah paket filter sederhana bias memblokir scan terhadap port, beberapa orang memutuskan untuk menjadi lebih kreatif. Port scanener yang sederhana akhirnya diubah menjadi scanner FIN. Sebuah scanner FIN bekerja dengan prinsip yang sama seperti port scanner, kecuali bahwa paket yang dikirim memiliki nilai FIN =1, ACK=1, dan semua flag lain diset ke-0.
Karena paket filter kita hanya memblokir paket-paket yang memiliki nilai SYN=1 dan semua flag lain diset ke-0, maka paket ini akan lewat dengan mudah . hasilnya adalah si penyerang bias menganalisa aliran data yang kembali untuk menentukan host mana yang menawarkan servis apa saja. Jika host destinasi mengembalikan sebuah paket dengan ACK=1 RSt=1 (sebuah respon generic atau respon umum dari sistem untuk servis yang tidak exsis), software scanner FIN akan emngetahui bahwa ini adalah sebuah port yang tidak digunakan. Namun, jika host destinasi mengembalikan sebuah ACK=1 FIN=1 (servis setuju untuk mengakhiri koneksi ), maka scanner FIN akan tahu bahwa sebuah servis sedang memantau port tersebut. Packet filter kita tidak mampu mencegah upaya scaning ini.
Sebagai tambahan FIN bias digunakan untuk mengidentifikasikan sistem operasi yang digunakan oleh mesin remote(yang kemudian bias digunakan seorang cracker untuk merancang sebuah serangan yang disesuaikan dengan vulnerability dari mesin dengan sistem operasi tersebut). Hal ini mungkin terjadi karena kebanyakan vendor sistem operasi mengimplementasikan TCP/IP dengan sedikit perbedaan, yang mengakibatkan sebuah “sidikjari” yang unik.