Ber om ursäkt att jag kanske inte läste din beskrivning tillräckligt noggrant första gången.
Jag har själv kört med port 22 öppen mot världen och sett hur många angrepp som kommer i loggarna på min Linux-maskin. Det var så gott som varje minut. Efter några månader beslöt jag mig för att skifta till en annan port och nu är det mycket lugnare. Knappast aldrig någon som försöker göra något på den porten. I teorin kan man som du säger köra portscanning mot en IP-adress och kolla vilka portar som är öppna. I praktiken tror jag inte de flesta som håller på med sånt otyg gör det.
De flesta elaksinnade typer använder säkert något standard-program som skannar av de vanligaste portarna ftp, ssh, telnet, netbios och http mot ett stort antal maskiner. De hittar tillräckligt många "offer" på det viset. Jag tror inte de ger sig tid att scanna alla portar mot alla maskiner då det helt enkelt skulle ta för lång tid och dessutom väcka onödig uppmärksamhet i nätet. En ISP märker ganska snabbt om någon användare börjar köra en massa port-scanningar och vidtar åtgärder mot dessa.