1. 命令选项以及参数

nmap 的命令类型大体分为 扫描类型，选项，目标格式 这 3 类。按照功能可以分为 目标格式，主机发现，扫描技术，端口规格和扫描顺序，服务/版本检测，脚本扫描，操作系统检测，时间和性能，防火墙/IDS 逃避和欺骗，输出，杂项 这 11 类。

所以在学习和记忆 nmap 的命令时可以将 nmap 的命令规划为：目标说明，主机发现，端口扫描技术，端口说明和扫描顺序，服务和版本探测，操作系统探测，时间和性能，防火墙/IDS 躲避和哄骗 这 8 大类进行记忆，因为这八大类的命令是互不相干的，这些命令也没有规定使用和编写的顺序（比如哪类命令需要写在哪类命令之前或之后，哪个命令要先使用，并没有这些死板的限制），所以可以任意使用。

Nmap 7.91SVN ( https://nmap.org )
 用法：nmap [扫描类型] [选项] {目标格式}
 目标格式：
   可以传递主机名、IP 地址、网络等。
   例如：scanme.nmap.org、microsoft.com/24、192.168.0.1；  10.0.0-255.1-254
   -iL <inputfilename>：从主机/网络列表输入
   -iR <num hosts>：选择随机目标
   --exclude <host1[,host2][,host3],...>：排除主机/网络
   --excludefile <exclude_file>: 从文件中排除列表
 主机发现：
   -sL：列表扫描 - 简单地列出要扫描的目标
   -sn：Ping 扫描 - 禁用端口扫描
   -Pn：将所有主机视为在线——跳过主机发现
   -PS/PA/PU/PY[portlist]：TCP SYN/ACK、UDP 或 SCTP 发现到给定端口
   -PE/PP/PM：ICMP 回显、时间戳和网络掩码请求发现探测
   -P0[协议列表]：IP协议Ping
   -n/-R：从不进行 DNS 解析/始终解析 [默认：有时]
   --dns-servers <serv1[,serv2],...>：指定自定义 DNS 服务器
   --system-dns：使用操作系统的 DNS 解析器
   --traceroute：跟踪每台主机的跳跃路径
 扫描技术：
   -sS/sT/sA/sW/sM：TCP SYN/Connect()/ACK/Window/Maimon 扫描
   -sU：UDP 扫描
   -sN/sF/sX：TCP Null、FIN 和 Xmas 扫描
   --scanflags <flags>：自定义 TCP 扫描标志
   -sI <僵尸主机[:probeport]>：空闲扫描
   -sY/sZ：SCTP INIT/COOKIE-ECHO 扫描
   -s0：IP协议扫描
   -b <FTP 中继主机>：FTP 反弹扫描
 端口规格和扫描顺序：
   -p <端口范围>：只扫描指定端口
     例如：-p22;  -p1-65535;  -p U:53,111,137,T:21-25,80,139,8080,S:9
   --exclude-ports <端口范围>：从扫描中排除指定的端口
   -F：快速模式 - 扫描比默认扫描更少的端口
   -r：连续扫描端口 - 不要随机化
   --top-ports <number>: 扫描 <number> 最常用的端口
   --port-ratio <ratio>：扫描比<ratio>更常见的端口
 服务/版本检测：
   -sV：探测开放端口以确定服务/版本信息
   --version-intensity <level>：设置从 0（轻）到 9（尝试所有探测器）
   --version-light：限制为最可能的探测（强度 2）
   --version-all：尝试每个探测（强度 9）
   --version-trace：显示详细的版本扫描活动（用于调试）
 脚本扫描：
   -sC：相当于 --script=default
   --script=<Lua scripts>: <Lua scripts> 是逗号分隔的列表
            目录、脚本文件或脚本类别
   --script-args=<n1=v1,[n2=v2,...]>：为脚本提供参数
   --script-args-file=filename: 在文件中提供 NSE 脚本参数
   --script-trace：显示所有发送和接收的数据
   --script-updatedb：更新脚本数据库。
   --script-help=<Lua 脚本>：显示有关脚本的帮助。
            <Lua scripts> 是一个以逗号分隔的脚本文件列表或
            脚本类别。
 操作系统检测：
   -O：启用操作系统检测
   --osscan-limit：将操作系统检测限制为有希望的目标
   --osscan-guess：更积极地猜测操作系统
 时间和性能：
   需要 <time> 的选项以秒为单位，或附加 'ms'（毫秒），
   “s”（秒）、“m”（分钟）或“h”（小时）到值（例如 30m）。
   -T<0-5>：设置时序模板（越高越快）
   --min-hostgroup/max-hostgroup <size>：并行主机扫描组大小
   --min-parallelism/max-parallelism <numprobes>：探针并行化
   --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <时间>：指定
       探测往返时间。
   --max-retries <tries>：限制端口扫描探测重传的次数。
   --host-timeout <time>: 这么长时间后放弃目标
   --scan-delay/--max-scan-delay <time>：调整探针之间的延迟
   --min-rate <number>：每秒发送数据包的速度不低于 <number>
   --max-rate <number>：每秒发送数据包的速度不超过 <number>
 防火墙/IDS 逃避和欺骗：
   -F;  --mtu <val>：分段数据包（可选w/给定的 MTU）
   -D <decoy1,decoy2[,ME],...>：用诱饵隐藏扫描
   -S <IP_Address>：欺骗源地址
   -e <iface>：使用指定的接口
   -g/--source-port <portnum>：使用给定的端口号
   --proxies <url1,[url2],...>：通过 HTTP/SOCKS4 代理中继连接
   --data <hex string>：将自定义负载附加到发送的数据包
   --data-string <string>：将自定义 ASCII 字符串附加到发送的数据包
   --data-length <num>：将随机数据附加到发送的数据包中
   --ip-options <options>: 发送指定ip选项的数据包
   --ttl <val>：设置 IP 生存时间字段
   --spoof-mac <mac 地址/前缀/供应商名称>：欺骗您的 MAC 地址
   --badsum：发送带有伪造 TCP/UDP/SCTP 校验和的数据包
 输出：
   -oN/-oX/-oS/-oG <file>: 正常输出扫描, XML, s|<rIpt kIddi3,
      和 Grepable 格式，分别为给定的文件名。
   -oA <basename>：一次输出三种主要格式
   -v：增加详细级别（使用 -vv 或更多以获得更大的效果）
   -d：提高调试级别（使用 -dd 或更多以获得更大的效果）
   --reason：显示端口处于特定状态的原因
   --open：只显示开放（或可能开放）的端口
   --packet-trace：显示所有发送和接收的数据包
   --iflist：打印主机接口和路由（用于调试）
   --append-output：附加到而不是破坏指定的输出文件
   --resume <文件名>：恢复中止的扫描
   --noninteractive：通过键盘禁用运行时交互
   --stylesheet <path/URL>：将 XML 输出转换为 HTML 的 XSL 样式表
   --webxml：来自 Nmap.Org 的参考样式表以获得更可移植的 XML
   --no-stylesheet：防止将 XSL 样式表与 XML 输出相关联
 杂项：
   -6：启用 IPv6 扫描
   -A：启用操作系统检测、版本检测、脚本扫描和traceroute
   --datadir <dirname>：指定自定义Nmap数据文件位置
   --send-eth/--send-ip：使用原始以太网帧或 IP 数据包发送
   --privileged：假设用户拥有完全特权
   --unprivileged：假设用户没有原始套接字权限
   -V：打印版本号
   -h：打印此帮助摘要页。
 例子：
   nmap -v -A scanme.nmap.org
   nmap -v -sn 192.168.0.0/16 10.0.0.0/8
   nmap -v -iR 10000 -Pn -p 80
 有关更多选项和示例，请参阅手册页 (https://nmap.org/book/man.html)

2. 命令选项的顺序和格式

nmap 的命令编写快捷灵活，支持多个命令选项同时组合使用时可以无序或任意顺序排列需要用到的选项，即 nmap 没有要求用户在使用命令时需要按某个固定的顺序组合排列指定的命令选项。这样不需要用户在记住大量命令和选项的同时还需要记住多个选项同时使用时的排放顺序，所以大大提高了用户使用的便捷性命令的灵活性。

例如扫描 IP 192.168.3.79 - 192.168.3.85 这个范围的 IP 地址的 80 端口，那么我们在编写扫描命令指定一些复杂的扫描控制选项时命令可以这样 nmap -sS -A 192.168.3.79-85 -p 80 也可以这样 nmap 192.168.3.79-85 -p 80 -sS -A，
还可以这样 nmap 192.168.3.79-85 -sS -A -p 80 所以我们可以从中看出 nmap 的命令在指定一些选项时不需要按照规定某一个固定的顺序放置，可以由用户自由随机指定顺序放置。

但是有一点需要注意的是，如果需要指定含参数的选项，那么该选项的参数必须紧紧跟随在该选项的后面，比如指定扫描的端口 -p 80 所以 80 是紧紧跟随在 -p 后方的，参数在后方的同时不能被其他选项分隔的，例如这指定扫描的端口 -p -A 80 选项 -p 的参数 80 被其他的选项 -A 分隔了，所以这样命令格式就是错误的。