Mert a legtöbb oprendszer 1024 fölötti nem sokkal nagyobb portszámokkal kezdi a kommunikációt. A natolós gépek meg 60 ezer fölött. Legalábbis a linux kernelben ez az alapbeállítás. Módosítani persze lehet rajta. Tehát a magas forrásport egy buktató. Nem tudom, hogy konkrétan az smc mit csinál, kellene egy hálózatdump róla.

A másik, hogy tcp fingerprintinggel meg lehet állapítani egy hálózati eszköz szoftverének típusát, néha a verzióját is. Ez persze nem mindig pontos. De ha a forrásip-n mondjuk linuxot talál (ami elég gyakori ezekben a dobozokban), a proxyban meg msie bejegyzések vannak, akkor ott megint van valami csavarás (persze lehet browser azonosítást is hazudni).

Ezek az alapértelmezett dolgok, a legtöbb internet előfizető nem tud róla és nem is tudja, hogyan változtasson rajta.

Finomabb forgalomelemzéssel is le lehet bukni, ha két olyan protokoll fut egyszerre, amihez kéz/szem/fül kell. Pl. két irc vagy két skype egyszerre.