Geef in detail aan hoe een port scan in z'n werk gaat.

Bij de standaard port scan-methode, TCP SYN-scan, gebeurt het volgende: nmap verstuurt een SYN-segment (datalinklaag van de netwerkinterface) naar een host en wacht op antwoord. Als een host antwoordt met een SYNACK-segment weet de aanvaller dat de poort open is (er is een applicatie die 'luistert' of er pakketjes op die poort binnenkomen). Als de host antwoordt met een segment waarin de RST-bit 1 is, is de poort gesloten (er is momenteel geen applicatie die 'luistert', maar er is wel toegang mogelijk tot de poort). Als de host, na herhaald proberen, niet antwoordt, kan de aanvaller er vanuitgaan dat de poort filtered is (firewall of filter blokkeert de poort).
Een aanvaller kan ook proberen te achterhalen welke services door de host uitgevoerd worden aan de hand van een database met speciale pakketten die gebruikt worden om de host te ondervragen (service en de naam van de applicatie, versienummer, naam van de host, type device, ...).
Men kan proberen het besturingssysteem te achterhalen door de port scanner een serie TCP- en UDP-segmenten naar de host de laten sturen, en vrijwel alle bits in de segmenten die de host terugstuurt te onderzoeken. Deze data geeft een vingerafdruk van het besturingssysteem, die vergeleken kan worden met een database met vingerafdrukken van besturingssystemen.