-sT TCP connect()掃描:這是對TCP的最基本形式的偵測。在該操作下，該connect()對目標主機上你感興趣的端口進行試探，如果該端口被監聽，則連接成功——否則代表這個端口無法到達。這個技術的很大好處就是你無須任何特殊權限，在大多數的UNIX系統下這個命令可以被任何人自由地使用。但是這種形式的探測很容易被目標主機察覺并記錄下來。因為服務器接受了一個連接但它卻馬上斷開，于是其記錄會顯示出一連串的連接及錯誤信息。

　　-sS TCP SYN 掃描:這類技術通常涉及一種“半開”式的掃描——因為你不打開完整的TCP連接，你發送一個SYN信息包就象你要打開一個真正的連接而且你在等待對方的回應。一個SYN|ACK(應答)會表明該端口是開放監聽的。一個RST(空閑?)則代表該端口未被監聽。如果SYN|ACK的回應返回，則會馬上發送一個RST包來中斷這個連接(事實上是我們的系統核心在干這事)。這種掃描的最大好處是只有極少的站點會對它作出記錄，但是——你需要有root權限來定制這些SYN包。

　　-sF -sX -sN

　　Stealth FIN,Xmas Tree 或者Null掃描模式:有時甚至SYN掃描都不夠隱蔽——一些防火墻及信息包過濾裝置會在重要端口守護，SYN包在此時會被截獲，一些應用軟件如Synlogger以及Courtney對偵測這類型的掃描都是行家。所以呢，在另一方面要有更進一步的掃描能在不遇到麻煩的情況下通過它們……

　　這個主意是關閉的端口會對你發送的探測信息包返回一個RST，而打開的端口則對其忽略不理(你可以參閱RFC 973 PP64)。所以FIN掃描使用空的FIN信息包作為探針、Xmas tree使用FIN，URG，PUSH標記、Null掃描則不用任何標記。但是不幸的是微軟以他們一貫的風格不理睬這一標準……所以這一掃描在WINDOWS9X以及NT下不能工作。

　　從積極方面來講，這其實也是一個很好的區分兩種平臺的辦法——如果這次掃描發現了打開的端口，那你就能明白這臺機器不是運行WINDOWS。如果-sF,-sX,-sN的掃描顯示所有端口都是關閉的但一個SYN(-sS)掃描卻顯示有打開端口，那你就能大致推斷它是WINDOWS平臺。這只是一個簡單應用，因為現在nmap已經有了更徹底的操作系統判別方法——當然它的原理類似上面所提到的.這些平臺包括Cisco, BSDI, HP/UX, MVS, 和IRIX。

　　-sP Ping掃描:有時你僅希望了解網絡上有哪些主機是開放的，nmap可以通過對你指定的IP地址發送ICMP的echo request信息包來做到這一點，有回應的主機就是開放的啦。但令人討厭的是一些站點比如microsoft.com對echo request包設置了障礙。這樣的話nmap還能發送一個TCP ack包到80端口(默認)，如果獲得了RST返回，機器是開放的。第三個方法是發送一個SYN信息包并等待RST 或SYN/ACK響應了。作為非root的用戶可以使用的，常用connect()模式。對root來說，默認的nmap同時使用ICMP和ACK的方法掃描，當然你也可以改變-P選項。注意你最好先ping一下用戶，只有有回應的主機才有必要掃描，只有你不想探測任何的實際端口掃描只想大面積地搜索一下活動的主機，你可以使用此選項。

　　-sU UDP掃描:這一方法是用來確定哪個UDP(User Datagram Protocol,RFC 768)端口在主機端開放。這一技術是以發送零字節的UDP信息包到目標機器的各個端口，如果我們收到一個ICMP端口無法到達的回應，那么該端口是關閉的，否則我們可以認為它是敞開大門的。有些人或許會認為UDP掃描是無意義的，我通常會以最近的Solaris rcpbind漏洞來提醒他們。Rpcbind會隱藏在一個非正式的UDP端口于32770口以上，因此對111進行防火墻過濾是無關緊要的.但你是否查找過在30000以上的端口是否處在監聽狀態中……，用UDP掃描你就能輕松地做到這一點!或者大家還可以想想cDc出品的Back Orifice木馬(BO)，它可以在Windows的機器中配置一個UDP端口，更不用說如此眾多可以利用UDP的、易受攻擊的服務如snmp,tftp,NFS等了。但有一點不得不提及的是UDP掃描在目標主機按照RFC 1812(4.3.2.8節)建議的那樣限制ICMP錯誤信息的傳送速率時會令人痛苦的緩慢。舉例來說吧，Linux 的核心配置(在net/ipv4/icmp.h)限制了每4秒產生80次的無法到達信息——每次產生1/4秒的延遲。Solaris有著更嚴格的限制(大約每秒兩次就會延遲)，所以這要耗費相當長的時間。nmap會偵測到這種限制并自動減緩速度——這也勝過用無意義的會被目標主機忽略的大量信息包來填充這個網絡。如以往一樣，微軟還是不在乎RFC所建議的事而且沒有任何限制性措施實行于WINDOWS或NT上，這樣我們可以把多達65K的端口以極高的速度掃描完畢，歡呼吧!

　　-sR RPC掃描:這一方法是結合nmap多種掃描的一種模式，它取得所有的TCP/UDP開放端口并且用SunRPC程序NULL命令來試圖確定是否是RPC端口并且——如果是的話，其上運行什么程序，何種版本。這樣你可以在目標主機躲在防火墻后或者由TCP wrappers防護著，它都能取得效果近似于'rpcinfo -p'的信息。但Decoys現在還不能正常工作在RPC掃描下，在以后我會在UDP RPC掃描中加入Decoy支持的。

　　-b(ftp relay host)

　　FTP 跳躍攻擊:FTP協議的一個有趣的特點是它支持代理FTP連接(RFC 959)，用另一句話說，我可以從evil.com連接到一個FTP服務器target.com并且要求目標主機發送文件到因特網的*任何地方*!在1985年這一RFC被寫下來后這一特性便漸漸施行，但在現在的網絡上我們不允許人們能夠隨意地“搶劫”一個FTP SERVER并請求數據到任何地方。所以在Hobbit于1995年寫下的有關這一協議缺陷時說到“它可以用來從許多站臺上發出事實上難以追查的信件、新聞以及攻擊性行為——填充你的硬盤，試圖使防火墻失效或者更多是煩人而無意義的騷擾。我開發出它來是為了通過一個代理FTP服務器察看TCP端口，這樣你可以連上一個在防火墻后的FTP服務器然后掃描它看來仿佛堵塞的端口(139是很好的例子)。如果FTP服務器允許你讀甚至寫進某些目錄(比如/incoming)，你可以發送任意信息到你發現打開了的端口(當然nmap不干這事)。對于你要通過'b'選項來使主機成為你的代理時，標準的URL格式形式是:username:password@server:port。要確定一個服務器是否易受這樣的攻擊，你可以看看我在Phrack 51期上的文章。它的更新版本在http://www.insecure.org/nmap。