用法: nmap [扫描类型] [选项] {目标说明}.
目标规格。
可以传递主机名、IP地址、网络，等等。
例如：scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <inputfilename>: 从主机/网络的列表中输入
-iR <num hosts>: 选择随机目标
--exclude <host1,host2,...>: 排除主机/网络
--excludefile <exclude_file>: 从文件中排除名单
主机发现。
-sL: 列表扫描 - 简单地列出要扫描的目标
-sn: Ping 扫描 - 禁用端口扫描
-Pn: 将所有主机视为在线 -- 跳过主机发现
-PS/PA/PU/PY[端口列表]。对指定的端口进行TCP SYN/ACK、UDP或SCTP发现
-PE/PP/PM。ICMP回波、时间戳和网络掩码请求发现探针
-PO[协议列表]。IP协议平移
-n/-R：从不进行DNS解析/总是解析[默认：有时]
--dns-servers <serv1[,serv2],...>: 指定自定义DNS服务器
--system-dns。使用操作系统的DNS解析器
--traceroute。追踪到每个主机的一跳路径
扫描技术。
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Windows/Maimon扫描
-sU: UDP扫描
-sN/sF/sX: TCP Null, FIN, 和 Xmas 扫描
--scanflags <flags>: 自定义TCP扫描标志
-sI <zombie host[:probeport]>: 空闲扫描
-sY/sZ: SCTP INIT/COOKIE-ECHO扫描
-sO: IP协议扫描
-b <FTP中继主机>。FTP跳转扫描
端口规格和扫描顺序。
-p <端口范围>。只扫描指定的端口

例：-p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9

--exclude-ports <端口范围>: 排除指定的端口进行扫描
-F: 快速模式 - 扫描比默认扫描更少的端口
-r: 连续扫描端口 - 不要随机化
--top-ports <number>: 扫描 <number> 最常用的端口
--port-ratio <ratio>: 扫描比<ratio>更常见的端口
服务/版本检测。
-sV: 探测开放的端口以确定服务/版本信息
--version-intensity <level>: 设定从0（轻）到9（尝试所有探测）。
--version-light。限制在最有可能的探针上（强度2）。
--version-all: 尝试每一个探针（强度9）。
--version-trace。显示详细的版本扫描活动（用于调试）。
SCRIPT扫描。
-sC：等同于 --script=default
--script=<Lua scripts>。<Lua scripts>是一个逗号分隔的列表，其中包括目录、脚本文件或脚本类别的逗号分隔列表。
--script-args=<n1=v1,[n2=v2,...]>：向脚本提供参数
--script-args-file=filename：在一个文件中提供NSE脚本的args。
--脚本-跟踪。显示所有发送和接收的数据
--script-updatedb: 更新脚本数据库。
--script-help=<Lua scripts>: 显示关于脚本的帮助。

       <Lua scripts>是一个用逗号隔开的脚本文件或脚本类别。

操作系统检测。
-O: 启用操作系统检测
--osscan-limit: 限制对有希望的目标进行操作系统检测
--osscan-guess: 更积极地猜测操作系统时间和性能。
带<时间>的选项以秒为单位，或附加'ms'（毫秒）。
's'（秒），'m'（分钟），或'h'（小时）来表示（例如30m）。
-T<0-5>: 设置计时模板（越高越快
--min-hostgroup/max-hostgroup <size>。平行主机扫描组的大小
--min-parallelism/max-parallelism <numprobes>。探针并行化
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>：指定探针往返时间。探针往返时间。
--max-retries <tries>。端口扫描探针的重传次数上限。
--host-timeout <time>。在这么长的时间后放弃目标
--scan-delay/-max-scan-delay <时间>。调整探针之间的延迟
--min-rate <number>: 发送数据包的速度不低于每秒<number>。
--max-rate <number>: 发送数据包的速度不超过每秒<number>。
防火墙/ID规避和欺骗。
-f; --mtu <val>: 对数据包进行分片处理（可选择使用给定的MTU）。
-D <decoy1,decoy2[,ME],...>: 用诱饵掩盖一个扫描
-S <IP_Address>: 欺骗源地址
-e <iface>: 使用指定的接口
-g/--source-port <portnum>: 使用指定的端口号
--proxyies <url1,[url2],...>。通过HTTP/SOCKS4代理进行中继连接
--data <hex string>: 在发送的数据包上添加一个自定义的有效载荷
--data-string <string>: 在发送的数据包中添加一个自定义的ASCII字符串
--data-length <num>: 将随机数据添加到发送的数据包中
--ip-options <options>: 用指定的ip选项发送数据包。
--ttl <val>: 设置IP生存时间字段
--spoof-mac <mac address/prefix/vendor name>: 欺骗你的MAC地址
--badsum：发送带有假的TCP/UDP/SCTP校验和的数据包
OUTPUT。
-oN/-oX/-oS/-oG <文件>。以正常、XML、s|<rIpt kIddi3,

 和Grepable格式，分别输出到给定的文件名。

-oA <基名>。一次性以三种主要格式输出
-v: 增加粗略程度(使用-vv或更多以获得更大效果)
-d: 增加调试级别（使用-dd或更多，效果会更好
--reason: 显示一个端口处于特定状态的原因
--open。只显示开放（或可能开放）的端口
--packet-trace。显示所有数据包
--iflist。打印主机接口和路由（用于调试）。
--append-output。追加到指定的输出文件中，而不是删掉。
--resume <filename>。恢复已中止的扫描
--stylesheet <path/URL>: XSL样式表，将XML输出转换成HTML。
--webxml: 参考Nmap.Org的样式表，以获得更多可移植的XML。
--no-stylesheet: 防止将XSL样式表与XML输出联系起来。
MISC:
-6: 启用IPv6扫描
-A: 启用操作系统检测、版本检测、脚本扫描和traceroute。
--datadir <dirname>: 指定自定义Nmap数据文件位置
--send-eth/-send-ip。使用原始以太网帧或IP数据包发送
--privileged。假设用户是全权限的
--unprivileged。假设用户缺乏原始套接字的权限
-V: 打印版本号
-h: 打印这个帮助摘要页。
举例来说。
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.8
nmap -v -iR 10000 -Pn -p 80