目標規范

第一類就是指定掃描目標規范相關的參數：

TARGET SPECIFICATION

說明文檔中介紹了不使用這部分的參數時，目標主機該怎么傳，就是Ex后面的那些參數類型。

-iL：傳遞一個ip地址的文檔，文檔里的ip地址可以是不連續的，不同網段的。
-iR：后面跟一個數字，會隨機掃描指定數量的主機，可以加-p指定端口掃描。
--exclude：后面跟ip地址或者網段，表示這些主機不用進行掃描。
--excludefile：后面傳一個ip地址的文檔，表示文檔中的主機不進行掃描。

主機發現

接下來一塊就是主機發現相關的參數：

-sL: List Scan 列表掃描，僅將指定的目標的IP列舉出來，不進行主機發現。  
-sn: Ping Scan 只進行主機發現，不進行端口掃描。  
-Pn: 將所有指定的主機視作開啟的，跳過主機發現的過程。  
-PS/PA/PU/PY[portlist]: 使用TCPSYN/ACK或SCTP INIT/ECHO方式進行發現。  
-PE/PP/PM: 使用ICMP echo, timestamp, and netmask 請求包發現主機。-PO[protocollist]: 使用IP協議包探測對方主機是否開啟。  
-n/-R: -n表示不進行DNS解析；-R表示總是進行DNS解析。  
--dns-servers <serv1[,serv2],...>: 指定DNS服務器。  
--system-dns: 指定使用系統的DNS服務器  
--traceroute: 追蹤每個路由節點

掃描技術

接下來是掃描技術相關的參數：

-sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式來對目標主機進行掃描。  
-sU: 指定使用UDP掃描方式確定目標主機的UDP端口狀況。  
-sN/sF/sX: 指定使用TCP Null, FIN, and Xmas scans秘密掃描方式來協助探測對方的TCP端口狀態。  
--scanflags <flags>: 定制TCP包的flags。  
-sI <zombiehost[:probeport]>: 指定使用idle scan方式來掃描目標主機（前提需要找到合適的zombie host）  
-sY/sZ: 使用SCTP INIT/COOKIE-ECHO來掃描SCTP協議端口的開放的情況。  
-sO: 使用IP protocol 掃描確定目標機支持的協議類型。  
-b <FTP relay host>: 使用FTP bounce scan掃描方式

端口規范和掃描順序

接下來是指定掃描端口相關的參數：

-p <port ranges>：掃描指定的端口  
實例: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9（其中T代表TCP協議、U代表UDP協議、S代表SCTP協議）  
--exclude-ports <port ranges>：指定不掃描的端口
-F：Fast mode – 快速模式，僅掃描TOP 100的端口  
-r：不進行端口隨機打亂的操作（如無該參數，nmap會將要掃描的端口以隨機順序方式掃描，以讓nmap的掃描不易被對方防火墻檢測到）。  
--top-ports <number>：掃描開放概率最高的number個端口（nmap的作者曾經做過大規模地互聯網掃描，以此統計出網絡上各種端口可能開放的概率。以此排列出最有可能開放端口的列表，具體可以參見文件：nmap-services。默認情況下，nmap會掃描最有可能的1000個TCP端口）  
--port-ratio <ratio>：掃描指定頻率以上的端口。與上述--top-ports類似，這里以概率作為參數，讓概率大于--port-ratio的端口才被掃描。顯然參數必須在在0到1之間，具體范圍概率情況可以查看nmap-services文件。

服務版本掃描

接下來是端口上服務版本掃描相關的參數：

-sV：指定讓Nmap進行版本偵測  
--version-intensity <level>：指定版本偵測強度（0-9），默認為7。數值越高，探測出的服務越準確，但是運行時間會比較長。  
--version-light：指定使用輕量偵測方式 (intensity 2)  
--version-all：嘗試使用所有的probes進行偵測 (intensity 9)  
--version-trace：顯示出詳細的版本偵測過程信息。

腳本掃描

接下來是腳本掃描相關的參數：

-sC: 相當于使用了 --script=default
--script=<Lua scripts>: 傳遞指定腳本
--script-args=<n1=v1,[n2=v2,...]>: 為腳本提供參數。
--script-args-file=filename: 在文件中提供NSE腳本參數。
--script-trace: 顯示發送和接收的所有數據。
--script-updatedb: 更新腳本數據庫。
--script-help=<Lua scripts>: 會顯示一些腳本的說明，以便理解目標腳本可以起什么作用。

系統掃描

系統掃描主要是識別目標系統是linux還是window或者是Unix：

-O: 進行系統掃描
--osscan-limit: 限制檢測指定類型的系統
--osscan-guess: 猜測的時候更激進一些

時間和性能

接下來是時間和性能相關的參數：

-T<0-5>: 設置時間標準 (值越大越快)
--min-hostgroup/max-hostgroup <size>: 最少一次掃描多少主機/最多一次掃描多少主機
--min-parallelism/max-parallelism <numprobes>: 最小并行數量/最大并行數量
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: 最小來回訪問時間/最大來回訪問時間
--max-retries <tries>: 限制端口掃描探針重新傳輸的次數。
--host-timeout <time>: 超時時間
--scan-delay/--max-scan-delay <time>：掃描延遲/最大掃描延遲
--min-rate <number>: 最低發送數據包的速度
--max-rate <number>: 最高發送數據包的速度

防火墻、id欺騙、躲避

接下來是防火墻、id欺騙和躲避相關的參數：

-f; --mtu <val>: fragment packets (optionally w/given MTU) 最大傳輸單元
-D <decoy1,decoy2[,ME],...>: 用誘餌掩蓋掃描，傳一些虛假的地址，避免目標發現掃描
-S <IP_Address>: 欺騙源地址
-e <iface>: 使用指定的接口
-g/--source-port <portnum>: 使用給定的端口號
--proxies <url1,[url2],...>: 通過HTTP/SOCKS4代理中繼連接
--data <hex string>: 向發送的數據包附加自定義負載
--data-string <string>: 向發送的數據包附加自定義ASCII字符串
--data-length <num>: 向發送的數據包附加隨機數據
--ip-options <options>: 使用指定的ip選項發送數據包
--ttl <val>: 設置IP生存時間字段
--spoof-mac <mac address/prefix/vendor name>: 偽裝你的MAC地址
--badsum: 使用偽TCP/UDP/SCTP校驗和發送數據包

這塊前面接觸得不多。

輸出內容

接下來就是輸出內容相關的參數：

-oN/-oX/-oS/-oG <file>: 分別指定級格式輸出掃描到給定文件名。
-oA <basename>: 同時以三種主要格式輸出
-v：增加詳細程度（使用-vv或更高級別以獲得更大效果）
-d：提高調試級別（使用-dd或更多以獲得更大的效果）
--reason: 顯示端口處于特定狀態的原因
--open: 僅顯示打開（或可能打開）的端口
--packet-trace: 顯示發送和接收的所有數據包
--iflist: 打印主機接口和路由（用于調試）
--Append-output: 附加到指定的輸出文件，而不是刪除指定的輸出文件
--resume <filename>: 繼續中止掃描
--noninteractive: 通過鍵盤禁用運行時交互
--stylesheet <path/URL>: 將XML輸出轉換為html的XSL樣式表
--webxml: 來自Nmap.Org的參考樣式表具可移植性的XML
--no-stylesheet: 防止XSL樣式表與XML輸出關聯

雜項

還有幾個不知道該歸類到哪里的參數：

-6: 啟用IPv6掃描
-A: 啟用操作系統檢測、版本檢測、腳本掃描和跟蹤路由
--datadir <dirname>: 指定自定義Nmap數據文件位置
--send-eth/--send-ip: 使用原始以太網幀或IP數據包發送
--privileged: 假設用戶擁有完全特權
--unprivileged: 假設用戶缺少原始socket權限
-V: 打印版本號
-h: 打印幫助說明