Exploración inactiva con una máquina con Windows 10 como Zombie

Estoy aprendiendo a hacer un análisis de inactividad y estoy practicando en mis computadoras personales:

• Tengo una máquina con el puerto 21 abierto.
• Envié un ping SYN / ACK en la máquina con Windows 10 (el zombi) y obtengo x como el IP-ID
• luego envié un ping SYN al objetivo usando Windows 10 como zombie.
• luego envié un ping SYN / ACK al zombi una vez más, pero en lugar de obtener x+2 como se esperaba (ya que el puerto 21 está abierto) obtuve x+1 .

Usé hping3 y no sé qué hice mal. Los comandos:

hping3 -SA <zombie> -c 1 
hping3 --spoof <zombie> -S <target> -p 21 -c 1
hping3 -SA <zombie> -c 1