O Nmap faz a detecção do SO com base na impressão digital TCP / IP. A abordagem do banner é complementar: ou um não é realmente um quadro completo. Banners podem ser falsificados ou encaminhados para outros sistemas. A impressão digital TCP pode ser imprecisa ou muito geral (como no seu caso de versão do kernel Linux versus distribuição).
Vários scripts NSE, bem como impressões digitais de detecção de versão de serviço, podem indicar o SO remoto. Frequentemente, isso será exibido abaixo do relatório de varredura do host como "Informações do Serviço: SO: Linux" ou algo mais específico. Atualmente, não existe um script NSE para correlacionar versões de serviço a uma distribuição específica. A principal dificuldade seria criar e manter actualizado um banco de dados de banners e distribuições, uma vez que existem tantas distribuições lá fora