Można przeprowadzić dochodzenie polecam tcpdump i szukac wartości TTL
pakietów pochodzących z "podejrzanej" końcówki. Linux daje standardowo
ttl=64, windows98 ttl=128. Jeśli łącze jest rozdzielane i robił to lamer
jest szansa, że TTL-e będą o 1 niższe od standardowych.
p0f http://www.stearns.org/ służy do pasywnej identyfikacji systemu
operacyjnego wskaże na bramie różne systemy operacyjne wychodzące spod
jednego IP.
Zobacz czy z końcówki są generowane naprzemiennie zapytania HTTP z
różnymi wartościami User-Agent.
Mozesz sprawdzić czy końcówka ma włączony ip_forwarding.
Ale czy nie prościej podzielić łącze równo pomiędzy wszystkich
użytkowników.