L' opzione -O, abilita il fingerprinting, ma questo nn e' dato solo dal timestamp dei pacchetti, il fingerprinting e' dato anche dalla variazione degli SEQ NUMBER delle connessioni, da come risponde lo stack TPC/UDP, dagli ID dei pacchetti IP... Hai usato una versione agg. di namp???...se usi delle versioni agg. queste hanno al loro interno un db dei fingerprintig aggiornati e se la distro scannata non e' l' ultima versione, riesci quasi sempre a fargli un fingerprinting con risultato attendibile. Cmq prova anche ettercap e vedi cio' che risponde, lo devi far partire, azionare lo sniffing e poi selezionare l' host in questione e vedere il fingerprinting.... Se vuoi evitare tutto cio' ,la cosa piu' veloce e' usare iptables e usare REJECT invece che DROP....serve falsificare la risposta e ingannare i fingerprinting (e' piu' pesante per quanto riguarda il carico computazionale), usando la statefull inspection e 3/4 righe di iptables riesci a fare tutto, senza andare a toccare i pezzi del kernel....oppure prova con sysctl, ma non lo ho mai fatto!!!!