Проблема жила достаточно долго, но только сейчас удалось найти причину, по которой пакеты от запрещенных адресов проникали в локальную сеть. Итак, есть роутер фирмы CISCO с "биосом" IOS (tm) 2500 Software (C2500-F2IN-L), Version 11.2(11), RELEASE SOFTWARE (fc1). Есть правила на роутере, которые запрещают извне приватные сети. "Нормальные" пакеты с этих сетей блокируются, но если послать пакет с флагами RST ASK, то такой пакет будет пропущен. Система автоматического обнаружения атак RealSecure такие пакеты идентифицирует как TCP_Probe_протокол. CheckPoint Firewall ругается "First packet isn't SYN tcp_flags: RST-ACK". Возможно, обновление IOS решит проблему, но новый IOS просто не влезет в устаревший роутер, а большинство компаний не согласится тратить деньги на замену железа. Следовательно, проблема защиты от сканирования сети у многих останется открытой.
Источник - http://www.bugtraq.ru