Jeder offen über eine Netzwerk erreichbare Dienst ist auch ein potentielles Einfallstor für Hacker und Würmer falls er noch unbekannte oder ungepatchte Sicherheitslücken enthält. Portknocking ist eine Sicherheitstechnik die Abhilfe schafft. Beim Portknocking wird ein Server-Port erst dann freigeschaltet, wenn der Client eine bestimmte, geheime TCP-Sequenz quasi als Klopfzeichen an den Server gesendet hat. Für Portscans bleiben alle gerade unbenutzten Dienste daher unsichtbar. Das ist aber nicht ausreichend, wenn der Angreifer auch die "geheimen" Klopfzeichen mitschneiden und replizieren kann. Daher hat man als Weiterentwicklung des Portknockings TCP Stealth ins Leben gerufen.
Bei TCP Stealth ist das Klopfzeichen nicht in einem vorangestellten Paket, sondern im ersten SYN-Paket eines Dreiwege-TCP-Handshakes verborgen. Das Klopfzeichen wird protokollkonform als Initial Sequence Number (ISN) im Header des TCP-Paketes eingetragen. Gebildet wird es aus einem Shared Secret, welches Client und Server vorher offline bekannt gemacht worden ist.
Das Verfahren eignet sich daher nicht für öffentliche Dienste mit vielen Clients, sondern nur für solche, die mit einer eingeschränkten, bekannten Menge an Clients.
