Se controlli le pagine man di nmap (se sei su Linux):
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu <val>: fragment packets (optionally w/given MTU)
-D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
-S <IP_Address>: Spoof source address
-e <iface>: Use specified interface
-g/--source-port <portnum>: Use given port number
--proxies <url1,[url2],...>: Relay connections through HTTP/SOCKS4 proxies
--data <hex string>: Append a custom payload to sent packets
--data-string <string>: Append a custom ASCII string to sent packets
--data-length <num>: Append random data to sent packets
--ip-options <options>: Send packets with specified ip options
--ttl <val>: Set IP time-to-live field
--spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address
--badsum: Send packets with a bogus TCP/UDP/SCTP checksum
Prova -f, la maggior parte dei sistemi di rilevamento delle intrusioni non deframmenta il pacchetto, perché richiede un uso intensivo delle risorse.
Fai attenzione ai portscan, ho sentito storie di Internet degli ISP che bloccano Internet dopo i portscan. Prendi in considerazione l'utilizzo di una VPN o VPS, o semplicemente controlla i risultati precedenti su servizi come shodan / netcraft