Q: Почему массовый скан IP-адресов нежелателен и является запрещённым у большинства хостинг-провайдеров?
A: У некоторых провайдеров (например, Linode) можно вполне сканить до первых абуз. А вот вопрос с дальнейшей реакцией на эти действия тесно связан с блэклистами, например, с организацией Spamhaus, черными списками которой пользуются многие крупные корпорации.
Суть в том, что при обнаружении рассылки спама, попытки взлома и так далее твой адрес заносится в черный список. Дальше начинается эскалация (по сути, рэкет по инстанциям) на уровне провайдера - если провайдер не устраняет причину блока, то у провайдера блокируют диапазон и Spamhaus уже начинает писать провайдеру на уровень выше.
В итоге могут заблокировать большую подсеть или даже AS (автономную систему), а за исключение её из списков провайдеру может прийтись платить крупную сумму.
Разумеется, провайдеру выгоднее сразу заблочить тебя чем разбираться со всякими Spamhaus и USEProtect, выплачивать и смотреть как уходят обычные пользователи, которые столкнулись с блокировкой (блокировка писем и так далее).
Q: Какой скан провайдеру проще детектить?
A: Проще всего детектится массовый скан адресов, на раз. Скан по рандомным адресам распознать намного труднее, а скан одного адреса (или, к примеру, неспешный брут) может вообще сливаться с обычным трафиком (пример: просто при сидении в ВК браузер делает огромное количество запросов на докачку фото, аудио, и прочей другой фигни).