En dehors des comportements specifiés par les RFC, chaque pile TCP/IP possède ses propres spécificités (choix d'implémentation, bugs, améliorations, ...) en particulier concernant la manière de réagir face aux paquets anormaux, c'est à dire ne respectant pas les RFC.
Ces spécificités sont exploitées par des logiciels afin de deviner, à distance via le réseau, quel système d'exploitation tourne sur une machine donnée. Ils fonctionnent en émettant des paquets anormaux (en jouant notamment sur la fragmentation, les flags TCP, les champs inutilisés, la taille des paquets, ...) à destination des machines cibles, et analysent les réponses en les comparant à une base de comportements connus des différents systèmes d'exploitation.
Ces logiciels sont utilisés par les administrateurs réseau pour recenser leurs parcs hétérogènes de machines, mais aussi par les pirates qui cherchent à apprendre le maximum d'informations sur une machine ou un réseau de machines pour adapter leurs attaques et maximiser leurs chances de réussite.
IP Personality est un module pour netfilter dont l'objectif est de pouvoir émuler différentes "personalités" réseau, en changeant les caractéristiques du traffic réseau, selon différents paramètres. En particulier cela permet de tromper de tels outils en faisant passer un système pour un autre, afin par exemple de masquer ou de protéger des systèmes autrement vulnérables, ou encore pour mettre en place des "pots de miel" (honey pots).