Kun aiemmat tunkeutumisenhavaitsemisjärjestelmät kehitettiin havaitsemaan auktorisoimattomat SYN-skannaukset, kehittiin tilalle FIN-skannaus, jossa kohdeaseman portiinporttiin lähetetään TCP-paketti, jossa FIN-valitsin asetettuna (normaalisti FIN ilmaisee jommankumman toisiinsa yhteydessä olevan aseman halusta lopettaa TCP-yhteys, täten palomuurit tai suodattavat reittimet saattavat pitää tätä normaalina liikenteenä eivätkä siten reagoi siihen). Mikäli välissä ei ole suodattavaa reititintä tai palomuuria, kohdeaseman kuuntelevan portin ei tule RFC 793:n mukaan vastata mitään ja mikäli porttia ei kuunnella tulee sen vastata RESET/ACK-paketilla. Suodattavat reitittimet ja palomuurit voivat muuntaa vastauksia FIN-skannauksen ärsykkeeseen.
