很多扫描工具都使用SYN FIN包，因为过去很多入侵检测系统都没有捕捉到这些，但是现在任何系统都可以安全地假设SYN FIN包是恶意的。

SYN FIN PSH, SYN FIN RST,SYN FIN RST PSH和其他变体SYN FIN也存在。这些数据包可能被意识到入侵检测系统可能正在寻找仅设置了 SYN 和 FIN 位的数据包的攻击者使用，同样，这些显然是恶意的。

虽然处理此标志组合的方法未在 TCP 的 RFC 中传达，因此操作系统对它的处理方式不同（每个操作系统都会生成自己的错误响应，但始终会检测到违规）