Proceso de análisis de paquetes de un host en una red. En este caso, actúa como un rastreador y no supone ningún tráfico en la red. En lugar de consultar activamente el sistema remoto, lo que se hace es capturar los paquetes enviados desde el sistema. Basándose en los rastros de estos paquetes, se puede determinar diferentes características del sistema operativo del host remoto. Para determinar esto se dispone de diferentes técnicas como la obtención de la pila TCP/IP (valores por defecto TTL), paquetes HTTP (a través del campo User-Agent), patrones de puertos abiertos, tamaño de la ventana TCP y otras.
Los cortafuegos y otras soluciones que filtran y analizan cuidadosamente el tráfico IP a menudo detienen la toma de huellas dactilares activas. Sin embargo, la toma pasiva de huellas dactilares puede examinar incluso los sistemas protegidos de forma agresiva y puede cartografiar redes sin activar ninguna alerta.
