1. 操作系统探测原理

nmap 最著名的功能之一是用 TCP/IP 协议栈 fingerprinting 进行远程操作系统探测。 Nmap 发送一系列 TCP 和 UDP 报文到远程主机，检查响应中的每一个比特。 在进行一打测试如 TCP ISN采样，TCP 选项支持和排序，IPID 采样，和初始窗口大小检查之后， Nmap 把结果和数据库 nmap-os-fingerprints 中超过 1500 个已知的操作系统的 fingerprints 进行比较，如果有匹配，就打印出操作系统的详细信息。

2. 启用操作系统检测

-O (启用操作系统检测) 除了使用该选项之外也可以使用 -A 选项来同时启用操作系统检测和版本检测。

3. 针对指定的目标进行操作系统检测

--osscan-limit (针对指定的目标进行操作系统检测) 如果发现一个打开和关闭的 TCP 端口时，操作系统检测会更有效。 采用这个选项，nmap 只对满足这个条件的主机进行操作系统检测，这样可以节约探测时间，特别在使用 -P0 扫描多个主机时。这个选项仅在使用 -O 或 -A 进行操作系统检测时起作用。

4. 推测操作系统检测结果

--osscan-guess; --fuzzy (推测操作系统检测结果)当 nmap 无法确定所检测的操作系统时，会尽可能地提供最相近的匹配，nmap 默认会进行这种匹配，使用上述任一个选项使得 nmap 的推测更加有效。