Um dispositivo que executa o kernel Linux pode ser rastreado por um atacante usando os valores de IP ID que o kernel produz para protocolos sem conexão (por exemplo, UDP e ICMP). Quando esse tráfego é enviado para vários endereços IP de destino, é possível obter colisões de hash (de índices para o array de contadores) e, assim, obter a chave de hashing (por meio de enumeração). Um ataque pode ser conduzido hospedando uma página da Web criada que usa o WebRTC ou o gQUIC para forçar o tráfego UDP a endereços IP controlados pelo atacante.