這些選項并非必需的，但有些會非常實用。

　　-P0 在掃描前不嘗試或者PING主機，這是用來掃描那些不允許ICMP echo 請求(或應答)的主機。microsoft.com就是這其中的一個例子，我們就必須使用-P0或者-PT80來察看microsoft.com的端口。

　　-PT 用TCP的ping來確定主機是否打開。作為替代發(fā)送ICMP echo請求包并等待回應的方式，我們可以大量發(fā)送TCP ACK包往目標網絡(或者單機)并一點點地等待它的回應，打開的主機會返回一個RST。這一參數(shù)可以讓你在ping信息包阻塞時仍能高效率地掃描一個網絡/主機。對非root的用戶，我們用connect()，以如下格式設置目標探針-PT,默認的端口是80，因為這相端口往往未被過濾。

　　-PS 這一選項是root用戶使用的，能用SYN(連接請求)包替代ACK包,打開的主機會有一個RST(或者SYN|ACK——但比較少見)應答。

　　-PI 這一選項是使用一個真正的ping(ICMP echo request)包。它找到開放的主機并且將該子網中的廣播地址全數(shù)搜尋——該廣播地址是能夠到達并能正確解析IP包的。如果其會被大量的DoS(denial of service)攻擊時，我們就能找到它。

　　-PB 默認的ping形式，它用于ACK(-PT)與ICMP(-PI)并行攻擊，以這一形式可以通過防火墻或包過濾。

　　-O 經由TCP/IP獲取‘指紋’來判別主機的OS類型，用另一說法，就是用一連串的信息包探測出你所掃描的主機位于操作系統(tǒng)有關堆棧信息并區(qū)分其精細差別，以此判別操作系統(tǒng)。它用搜集到的信息建立一個“指紋”用來同已知的操作系統(tǒng)的指印相比較(the nmap-os-fingerprints file)——這樣判定操作系統(tǒng)就有了依據(jù)。如果你發(fā)現(xiàn)一臺機器開了至少一個端口并得到錯誤的診斷信息，那么你可以寫信告訴我相關細節(jié)比如操作系統(tǒng)版本或偵測到的操作系統(tǒng)版本圖，如果他有端口開放但nmap返回'不可識別的操作系統(tǒng)'，這可能也是有用的，你可以將它的IP告訴我或者另一個辦法是用nmap的-d參數(shù)并告訴我它返回的“指印”——操作系統(tǒng)和版本號，這樣做，也算是對nmap在判定操作系統(tǒng)的進一步開發(fā)中做了些事情，以便后續(xù)版本中它能更精確地判別系統(tǒng)類型。

　　-I 這是用ident掃描方式的參數(shù)，如Dave Goldsmith于1996年在Bugtraq中所說的，這個ident協(xié)議(rfc 1413)允許通過TCP連接得到擁有進程的用戶名——即使這個連接不是由該進程發(fā)起的。所以呢，舉個例吧，你可以通過ident連接到一個http端口并找出該進程是否由root運行，但這只能在“全開”的對目標端口的TCP連接中使用(象-sT掃描參數(shù))。當你用-I參數(shù)時，遠程主機的identd在開放的端口接受連接質詢——很明顯的，如果主機不運行identd的話，那它就無法正常工作。

　　-f 這個參數(shù)配置以細小的IP碎片包實現(xiàn)SYN，F(xiàn)IN，XMAS或NULL掃描請求。這個想法是把TCP包頭分別放在幾個不同的信息包中，使包過濾器難于運作，而后你就可以闖入系統(tǒng)做你想做的事了。但要注意，部份程序可能會對這些小信息包處理錯誤。比方說我最喜歡的sniffer segmentation在接收第一個36字節(jié)的信息碎片時就出現(xiàn)麻煩，之后又來了個24字節(jié)的!當包過濾器和能將IP碎片排列的防火墻沒有獲得此順序時(就象linux內核中的CON-FIG_IP_ALWAYS_DEFRAG選項)，一些網絡系統(tǒng)就不能反映出找到目標，并且放棄。

　　記住這個參數(shù)不一定能很好地工作在任何系統(tǒng)上,它在我的Linux,FreeBSD以及OpenBSD下是正常的,當然也有一些人說它能在部份不同的*NIX環(huán)境下工作。

　　-v 詳細模式。這是被強烈推薦的選項，因為它能帶來你想要的更多信息。你可以重復使用它以獲得更大效果。如果你需要大量翻動屏幕請使用 -d 命令兩次

　　-h 這是一個快捷的幫助選項，可以在屏幕上顯示nmap的參數(shù)使用方法——象你注意到的那樣，這個man page實在不是一個“快速入門參考”:)

　　-o 這是用來指定一個放置掃描結果的文件的參數(shù)——這個結果是易于閱讀的。

　　-m 這也是存放掃描結果的參數(shù)，但它是存放機器可解析(machine parseable)結果的，你可以用-m 帶'-'(引號不用)將其輸出到標準輸出里(用shell的管道符……)。在這種形式下，正常的輸出被禁止了，你需要察看一些錯誤信息來了解情況。

　　-i 從指定文件而不是從命令行讀取數(shù)據(jù)。該文件可以存放一個主機或網絡的列表，中間用空格、TAB鍵或者換行來分隔。如果希望從標準輸入設備(文件)讀取——比如在管道符的末端，你要將連字號(-)用于文件名。你可以從目標規(guī)格里找到更多關于寫這一文件的資料。

　　-p 這一參數(shù)可以指定你希望掃描的端口，舉例來說吧'-p 23'則只會對主機的23端口進行探測，默認掃描的是從1到1024端口，或者也可以用nmap里帶的services file里的端口列表。

　　-F 快速掃描模式。指定只希望掃描nmap里提供的services file中列出的端口列表里的端口。這明顯會比掃描所有65535個端口來得快。

　　-D 這是一種帶有誘騙模式的掃描，在遠程主機的連接記錄里會記下所有你所指定的誘騙性的地址。這樣的話他們的數(shù)據(jù)存儲器會顯示有一些端口掃描從某個IP發(fā)起，然而他們無法辯別哪個是真正的IP而哪個是用來作為掩護的，這可以擊敗一些通過路由進行跟蹤的行為，所以它是一項隱藏你的IP的很實用的技術。用逗號分隔各個欺騙地址，你可以隨意地將'me'放進任意一個你希望顯示真實IP的地方，如果你將'ME'放在第六位甚至最后，有些端口掃描記錄器(比如Solar Designer's excellent scanlogd)可能根本就不會顯示你的IP，如果你不用'ME'的話，nmap將會將它隨機放置。記住你用來誘騙的主機必須是開放的或者你可以半開掃描一下你的目標。因為要從一堆實際上沒有用的IP地址里判別出哪個是真正的入侵者是相當容易的。你還可能要用IP地址來代替名字，這樣誘騙主機的nameserver logs里才不會記錄下你來。還要記得有些(愚蠢的)"端口掃描探測器"會拒絕到達主機的端口掃描嘗試。這樣你無意中就會導致你掃描的主機與“誘騙主機”連接的丟失，這樣可能會帶來一個很大的問題是——如果這個“誘騙主機”是一個網上的網關或者甚至就是其本地的機子，其連接一樣會斷開!所以大家最好小心使用這個參數(shù)——從道德上的原因——這僅僅是一個誘騙，不是么?這種誘騙可以用在最初的ping掃描(用ICMP,SYN,ACK或其它)與實際的端口狀態(tài)掃描中，它還可以用于遠程OS的判別(-O)。當然如果你寫入太多的誘騙地址也是沒什么用處的，那只能減緩掃描速度以及降低一些精確度。而且一些指令處理系統(tǒng)還可能會過濾掉你的欺騙包，雖然多數(shù)(幾乎是全部了)不會對欺騙包作出任何限制。

　　-S 在某些環(huán)境下nmap可能無法確定你的源地址——這種情況下nmap會有提示，這時你就要用-S帶IP地址來標注。另一種使用的可能性是用來欺騙目標使它認為某人在掃描它。設想一下，某個公司發(fā)現(xiàn)被競爭者持續(xù)不斷的掃描:),這是一個不被支持的用法，或者說，不是主要目的。我只是用它來提醒人們在發(fā)現(xiàn)一個端口掃描者時別光顧責難，可能他是無辜的呢。-e能夠說明這個參數(shù)的一般用法。

　　-e 告訴nmap哪個界面要發(fā)送或接收。nmap能夠自動探測它，如果無法做到，亦會有提示信息。

　　-g 在掃描中設定源端口號。許多“天真”的防火墻或包過濾器除了它們建立的允許DNS(53)或FTP-DATA(20)的包進來建立連接之外，其余一概過濾，顯然這是很輕率的做法，因為入侵者能夠輕易地編輯一個來自FTP或DNS的源端口。比如說，你如果無法從一個主機的host:port通過TCP ISN取得信息，那么通過用-g 命令，nmap會改變源端口再次嘗試。需要了解的是，使用這個選項可能會有小小的延遲，因為我有時需要在源端口號中存儲有用信息.

　　-M 設定用來并行進行TCP connect()掃描的最大的sockets數(shù)目(默認)。這對將掃描適度減緩是相當有效的，它可以避免把遠程主機crashing。另一個途徑是用-sS。