He leído que los creadores de ZMap recomiendan enviar tres sondas para cada tupla (ip, puerto) al escanear. Digamos que escaneamos el puerto 443 con un escaneo TCP SYN. Una razón que puedo imaginar es la pérdida de paquetes. ¿Conoce otras razones para enviar varias sondas en lugar de enviar solo una?
El motivo principal es el que ha indicado, que es que existe el riesgo de pérdida de paquetes en cualquier conexión y, como resultado, es prudente enviar más sondeos para reducir el riesgo de perder un servicio abierto.
Con escáneres como nmap, es posible anular la configuración predeterminada y reducir o aumentar el número de reintentos que realizará. Esto puede ser útil para reducir el tiempo que tomará el escaneo (con un mayor riesgo de servicios perdidos) o aumentar la probabilidad de detección del servicio cuando se escanea en redes inestables.
Lea otras preguntas en las etiquetas web-scanners tcp scan