العشوائية التي يستخدمها برنامج العميل او برنامج الجاني تحمل دائما قيما اكبر من 1024، وعندما يتلقي الملقم وحدة البيانات من برنامج العميل فانه يعرف رقم المنفذ العشوائي من حقل المنفذ المصدر في راس TEP، وبالتالي يرسل رده على طلب العميل على هذا المنفذ.
-التعرف على البرامج او الخدمات العاملة:
اشرنا فيما تقدم ان نظام التشغيل يقوم آليا يربط البرامج والخدمات بالمنافذ الشائعة لها، وعندما يتم ربط برنامج او خدمة معينة بالمنفذ الشائع لها يصبح هذه الخدمة في حالة انتظار لاي اتصال من اى عميل، ويطلق على البرامج المربوطة الى المنافذ الخاصة بها انها في حالة انصات، وقد ذكرنا فيما تقدم انه لا يتم ربط كل الخدمات او البرامج بالمنافذ الخاصة بها لان ذلك يستنفذ طاقة النظام، بالاضافة الى انه يسهل اختراق النظام من قبل الجناة، ولكي يتمكن الجاني من معرفة أي الخدمات مربوطة الى المنفذ الخاص بها وبالتالي في حالة عمل او انصات، فانه يستخدم ما يسمى بالمصافحة الثلاثية، تتألف عملية المصافحة الثلاثية من تبادل ثلاث رسائل بين جهاز العميل وبين المنفذ المحدد في جهاز الملقم، في البداية يرسل جهاز العميل رسالة SYN الى المنفذ المحدد وينتظر تلقي الجواب او الرد من ذلك المنفذ في الملقم، اذا كان المنفذ في حالة انصات أي جاهز للاتصال فانه يعيد جواب برسالة ACT/SYN، ومعنى هذه الرسالة ان البرنامج او الخدمة تعمل غلى المنفذ وجاهزة للاتصال، أو بعبارة اخرى ان المنفذ مفتوح للدخول، اما اذا رد الملقم برسالة RST/ACT فان ذلك يشير عادة الى ان