La forma más rápida que conozco de escanear puertos (y me sorprendería si hay algo más rápido) es massscan con un Intel Adaptador Ethernet de 10 gbps y el controlador PF_RING. Para citar la página de github "Este es el escáner de puerto de Internet más rápido. Puede escanear todo Internet en menos de 6 minutos, transmitiendo 10 millones de paquetes por segundo". Esto es peligrosamente rápido: elimine su red local si no tiene cuidado rápidamente.
Para obtener información sobre la versión, debe usar la opción de banners. Consulte uso aquí . No creo que esto sea tan avanzado como la detección de la versión de nmaps, es posible que tenga más trabajo de limpieza en los datos devueltos.
Si prefieres mantener el nmap, hay varias formas de acelerarlo. -Pn evitaría enviar un ping. -n evita la resolución de DNS. --send-eth se envía directamente a la interfaz de Ethernet - aunque primero necesita comprender completamente las consecuencias de esto y cómo configurar su máquina de forma apropiada.
Para obtener información sobre la versión, ¿la opción -sV ofrece el mismo rendimiento con -sS o debería primero escanear el objetivo con -sS después de escanear puertos abiertos con -sV?
Técnicamente, no hay razón por la que no puedan ser tan eficientes (y posiblemente más eficientes para ejecutarlos juntos). Sin perfilar o revisar el código fuente de nmap no puedo responder esto de manera concluyente. Google no muestra inmediatamente nada obvio.