.高级扫描功能:
-sI <zombie host[:probeport]> : Idle scan 一种隐秘的扫描技术,该技术利用了大多数操作系统TCP/IP栈实现的一些特性,常用于发现主机之间的基于IP协议的信任关系,如防火墙和×××网关等。具体原理可参考 Idle scan
-sO : IP protocol scan,探测目的主机开放的协议。
-b <FTP relay host> : FTP bounce scan FTP跳板端口扫描,利用FTP服务器PORT命令
处理漏洞。格式:nmap –P0 –b username:password@ftpserver:port <target host>
 
.操作系统和服务探测
-O  :启用操作系统检测,也可以使用-A来同时启用操作系统检测和版本检测。
--osscan-limit  : 针对指定的目标进行操作系统检测,如果发现一个打开和关闭的TCP端口时,操作系统检测会更有效。采用这个选项,Nmap只对满足这个条件的主机进行操作系统检测,这样可以 节约时间,特别在使用-P0扫描多个主机时。这个选项仅在使用 -O-A 进行操作系统检测时起作用。
--osscan-guess  : 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配,使用上述任一个选项使得Nmap的推测更加有效。
-sV  : 打开版本探测。
--version-intensity <level>  :设置 版本扫描强度,当进行版本扫描(-sV)时,nmap发送一系列探测报文 ,每个报文都被赋予一个19之间的值。被赋予较低值的探测报文对大范围的常见服务有效,而被赋予较高值的报文一般没什么用。强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。然而,高强度扫描花更多时间。强度值必须在09之间。 默认是7。当探测报文通过nmap-service-probes ports指示符 注册到目标端口时,无论什么强度水平,探测报文都会被尝试。这保证了DNS 探测将永远在任何开放的53端口尝试, SSL探测将在443端口尝试,等等。
--version-light  : Limit to most likely probes (intensity 2)
--version-all  : Try every single probe (intensity 9)
--version-trace  : 跟踪版本扫描活动,这导致Nmap打印出详细的关于正在进行的扫描的调试信息。 它是您用--packet-trace所得到的信息的子集。
-sR  (RPC扫描) 这种方法和许多端口扫描方法联合使用。 它对所有被发现开放的TCP/UDP端口执行SunRPC程序NULL命令,来试图确定它们是否RPC端口,如果是,是什么程序和版本号。因此您可以有效地获得和rpcinfo -p一样的信息, 即使目标的端口映射在防火墙后面(或者被TCP包装器保护)Decoys目前不能和RPC scan一起工作。 这作为版本扫描(-sV)的一部分自动打开。由于版本探测包括它并且全面得多,-sR很少被需要。