端口扫描工具绝对无法确认受保护机器上一个指定UDP 端口是开放的。它只能给一个机器发送一个或多个数据包。数据包到达机器前发生的情况则是另外一回事情了。许多端口扫描工具监听ICMP 目标不可达（Destination Unreachable）数据包。如果因为符合拒绝（Reject）规则而被拒绝，防火墙会给发送方返回一个ICMP Destination Unreachable 数据包，但是，每秒发送这样的数据包的数量是有限的，具体数据在防火墙配置信息里规定。如果被拒绝数据包的速率更大，那么肯定会被丢弃，可是，防火墙不响应更多的ICMP Destination Unreachable。而符合丢弃（Drop）规则就决不会发回ICMP 目的地不可达的消息。如果由于以上两个原因，扫描程序接收不到任何类似消息，它将错误地认为端口是开放的。为了找出允许实际通过防火墙的数据流，可以与“Sniffer”连接，“Sniffer”是显示网络上所有数据包内容的网络分析工具。用端口扫描程序在感兴趣地址的所有端口发送一组数据包，检查是否有数据包通过防火墙。