Ho letto che i creatori di ZMap consigliano di inviare tre sonde per ogni tupla (ip, port) durante la scansione. Diciamo che scansioniamo la porta 443 con una scansione SYN TCP. Una ragione, posso immaginare è la perdita di pacchetti. Conosci altri motivi per l'invio di più sonde invece di inviarne solo uno?
Il motivo principale è quello che hai affermato, ovvero che c'è un rischio di perdita di pacchetti su qualsiasi connessione e di conseguenza è prudente inviare più probes per ridurre il rischio di perdere un servizio aperto.
Con gli scanner come nmap è possibile scavalcare la configurazione predefinita e ridurre o aumentare il numero di tentativi che farà. Questo può essere utile per ridurre il tempo di scansione (con un rischio maggiore di servizi mancati) o aumentare la probabilità di rilevamento del servizio durante la scansione su reti instabili.
Leggi altre domande sui tag tcp web-scanners scan