Essa é de um pessoa de San Diego:

É possível identificar unicamente um determinado computador na Internet. Na verdade, qualquer device falando TCP e usando os principais sistemas operacionais do mercado. Para conseguir isso, o estudo levou em consideração "distorções padronizadas" no CLOCK do equipamento.

Há algum tempo distorções de clock são usados para fingerprint de sistemas operacionais. Da mesma forma, seqüências do TCP timestamp são usadas para aferir o número de máquinas atrás de um NAT (Bellovin).

Só que esse pessoal descobriu distorções que são únicas no método como o software interpreta e cria o virtual timestamp a partir do clock físico da máquina. Ou seja, cada máquina produz sua própria distorção, que é constante durante o tempo.

Com esta distorção, é possível descobrir se você está diante de virtual servers ou honey nets, assim como, por exemplo, monitorar as atividades de um notebook onde quer que ele esteja.

Da mesma forma, armazenando estas distorções, você pode identificar se uma mesma máquina atacou sua rede, independentemente do IP de origem desta máquina, mesmo ela estando atrás de NAT.

Para quem tiver coragem de ler o estudo:
http://www.caida.org/outreach/papers...erprinting.pdf (10Mb de PDF)

[]s, MM