根据您的扫描环境和服务器所在的位置等。您可以使用 TCP 空闲扫描来完成此操作 - http://nmap.org/book/idlescan.html

您也可以通过代理http://funoverip.net/2010/11/socks-proxy-servers-scanning-with-nmap/进行扫描

上述两种方法都比较隐蔽，但都不是完全无法追踪的，所以请考虑这一点。

此外，除非您有权这样做，否则您应该考虑端口扫描系统的合法性 - http://nmap.org/book/legal-issues.html

要“扫描”端口，您需要向端口发送流量以获得响应。但是，除了空闲扫描和代理让其他目标为您发送流量之外，还有 2 个其他隐蔽选项可以枚举目标的端口：

• 被动嗅探
• 让目标告诉你

嗅探网络允许您查看进出各个端口的流量。由于嗅探是被动的，因此您无法被追踪。这取决于嗅探窗口期间来自端口的活动流量。

另一个选项很可能超出预期，但为了完整起见，我将其包括在内：一旦您获得对目标的访问权限，您就可以查询目标以告诉您哪些端口可用。您可能会通过端口 80 在易受攻击的 Web 服务器上获取 shell，然后运行netstat以查看其他端口正在侦听哪些端口以及在哪些接口上。到目标 shell 的流量超过正常渠道（网络流量），虽然可追踪，但很容易迷失在噪音中。这种枚举途径不容忽视。

这两个选项都要求您靠近目标或拥有漏洞利用向量，但过去它们对我很有帮助。

除了已经提供的选项外，匿名网关的使用还可以为扫描提供大量覆盖。例如，Tor 应该提供足够的入口和出口点，以使任何跟踪都不太可能成功。

有两种方法可以使扫描几乎无法追踪（仅当受攻击的系统没有专门配置用于检测扫描时）。

1. 长时间执行（每 24 小时或更长时间进行一次端口探测，最好与合法流量混合）
2. 使用多台计算机执行它（最好每台计算机/IP 1 个端口）

第一个将需要很长时间（在此期间防火墙配置可能会更改）或需要大量计算机（并且可以按 IP 块而不是端口块命中）。

继续参考量子物理学：这类似于不确定性原理；）