Nmap 与任何对手工具一样，可以通过入侵检测系统 (IDS) 进行指纹识别。因此，Nmap 的任何技术通常都被这些现代工具归类为攻击——尤其是下一代防火墙 (NGFW) 技术或 NGFW 的前沿等效技术。

此外，信息共享联盟中心 (ISAC) 正在共享网络威胁情报 (CTI) 指标（通常显示为妥协指标或 IoC），这些指标涉及

1. 原始攻击者流量（例如 Nmap）的 IP 地址，因此将被拥有 CTI 团队、使用 CTI 提要或拥有包含 CTI 元素的产品或服务的组织阻止或检测到
2. 网络流量签名，例如 Snort（NB，Snort 是一种非常流行的免费、开源 IDS）规则，其中包含有关 Nmap 如何工作的信息——尤其是 Nmap 的“隐秘”扫描，例如 NULL、FIN、ACK、Window、 SYN 等人

你指的是哪本书？鉴于上下文，作者似乎在讨论 SYN 扫描如何在网络上比 TCP connect() 扫描更嘈杂。这是因为 SYN 扫描没有完成完整的 TCP 握手。同样，IDS/IPS、UTM、NGFW 和 CTI 防御技术将检测 SYN 扫描，就像许多其他 Nmap 方法和许多其他网络渗透测试工具和技术一样。

隐形扫描不一定会比连接扫描吸引更多的注意力，隐形扫描的重点是吸引更少的注意力。

这本书可能暗示的是，隐形扫描比连接扫描更令人担忧。连接扫描可用于简单地获取有关在线内容的信息，它们不会试图隐藏自己在做什么。一个 IDS/IPS 系统应该会立即拿起一个。如果攻击者正在运行连接扫描，他们可能不太复杂/熟练，因此威胁较小。如果有人在进行隐形扫描，他们更有可能知道自己在做什么，并且更难被发现。

与 SYN 相比，TCP 连接扫描与目标建立完全连接。因为 TCP 隐身（SYN）扫描完成了与目标的半连接。也在 TCP 连接扫描中发送 syn、syn-ack 和 RST 数据包。在 TCP SYN 的情况下，仅 RST 不发送并继续建立连接。