Google: “ Neobvyklý provoz z vaší počítačové sítě ”

I když to, co hledají, není zveřejněno, víme, jak malware zneužívá vyhledávání Google – útočníci budou hledat weby, které vykazují konkrétní známky zranitelnosti, a použijí tento výběr cíle. Čím víc tedy vypadáte, že to děláte automatizovaným způsobem, tím větší je pravděpodobnost zablokování.

Takže vyhledávání výrazů „facebook“ a „michael phelps“ a „prevence eboly“ pravděpodobně přiláká méně pozornosti, zatímco hledání „pluginů / cart.php“ nebo „powered by WordPress“ je o něco podezřelejší. Další drobné faktory, jako je ignorování souborů cookie a odesílání předvídatelnou rychlostí, mohou způsobit vypadáte ještě více jako skript. A co je nejdůležitější, víme, že sledují vaši rychlost provozu. Spolehlivé vyhledávání v nejkratším čase je nejspolehlivější způsob, jak se označit.

To není řekněme, že Google tyto věci hledá. Pokud by řekli co hledali, pak by útočníci přijali opatření k maskování svého chování.

Nejdůležitější však je: jen to, že ve svém prohlížeči neděláte nic podezřelého, neznamená, že váš počítač to nedělá automatizovaným způsobem, který nevidíte. Malware nepotřebuje k provádění těchto dotazů váš prohlížeč. Ujistěte se, že nic ve vaší síti neposílá provoz, o kterém nevíte. Pro jistotu proveďte zachycení paketů na vaší bráně.

Jen teorie:

Pokud máte dynamickou nebo sdílenou IP adresu, mohlo by se stát, že někdo, kdo měl vaši IP adresu dříve, zneužíval své internetové připojení k automatickému vyhledávání.

Příklady:

• Vím o některých poskytovatelích mobilního internetu (3 g, 4 g), kteří postavili mnoho zákazníků za stejnou IP adresu NAT. Jeden špatně se chovácí člověk je dost na to, aby to pokazil všem ostatním uživatelům sdílejícím stejnou externí IP adresu.

• Pravidelní poskytovatelé DSL vám často poskytují dynamickou IP adresu. Jak je uvedeno výše, můžete skončit se „špinavou“ IP adresou.

Komentáře

• Další teorie : Zkontrolujte, zda ve vašem počítači není malware, možná je váš počítač zneužíván jako vyhledávací robot prostřednictvím nějakého malwaru.
• To není špatný nápad, zachytávání paketů může také zobrazovat zajímavý provoz.
• Jak se připojujete se k síti? Sdílené připojení přes veřejný hotspot wifi?
• IP adresa určitě není statická, takže NAT nebo tak jako tak dinamyc. Mám tendenci vylučovat malware, protože to je v některých regionech / poskytovatelích opakující se fenomén nejen pro mě.
• Zažil jsem to při používání automatizovaných nástrojů, které zneužívají funkce vyhledávání googles. Například prohledávače stránek, které procházejí vyhledáváním Google vysokou rychlostí.

Měli jsme uživatele, který používal plugin ve Firefoxu s názvem „trackmenot“, který každých 6 sekund odesílal Googlu spoustu dat. Zakázání této funkce nebo snížení frekvence připojení problém vyřešilo.

Abych uživatele zpočátku vystopoval, „překládal jsem každou z našich interních podsítí přes různé externí IP adresy.Poté, co někdo znovu nahlásil chybu, jsme osobu, která problém nahlásila, přesunuli do další karanténní skupiny IP interních zdrojů s novou IP externě NAT. Stále jsme přidávali / odebírali uživatele z této skupiny, dokud jsme nebyli až na 1 uživatele. Máme více než 100 uživatelů a tento proces trval 2–3 dny.

Doufám, že to někomu pomůže.

Někdy na to narazím, když googluji technické záležitosti rychle (ručně) a hledám výsledky vyhledávání jen na sekundu nebo dvě (bez sledování odkazů).

To se děje bez ohledu na OS, který používám aktuálně na (Windows nebo Linux) a bez dalších strojů za mým NAT (bez dynamických změn IP za chvíli).

Není nainstalován žádný malware, pluginy prohlížeče ani software pro škrábání.

A ano, jsem v Rusku 🙂

Takže se zdá, že Google má v krátké době zpřístupněné filtry bot pro E. Evropu a pouze rychle píše (a čte) vás může dočasně zakázat 🙂

Komentáře

• .. a tady to máme znovu; na zdraví matky Ruska 🙂

Se stejným problémem se setkávám, když tunelovám svůj webový provoz přes proxy. Nejsem si jistý, proč tomu tak je; ale hádám, že tyto proxy, které používáte, jsou veřejně dostupné, protože většina z nich je.

Pokud je to váš případ, pak je pravděpodobné, že stovky uživatelů podávají téměř stejné požadavky prostřednictvím stejného serveru proxy jako vy. Váhám s tím, že by to bylo samo o sobě důvodem, protože větší kanceláře / firmy by se tomuto provozu pravděpodobně mohly vyrovnat. I když tomu tak není, budete stále plácnuti na zápěstí za škodlivé akce jiného uživatele. , z nichž některé Google zmínil.

Pokud jste vůbec obeznámeni s proxy servery, pak budete vědět, že jediná IP adresa, o které Google ví, je adresa proxy serveru. IP adresa každého klienta je známa proxy serverem, ale ne Googlu. Tímto způsobem je provoz odesílaný z Google předáván z proxy serveru klientovi a lze dosáhnout skromných prostředků anonymity. Z tohoto důvodu „Google může pokarhat pouze server proxy, nikoli jednotlivé klienty.

Také vidím, že někteří další uživatelé zmínili, že provoz může pocházet z vašeho počítače. Toto je velmi nepravděpodobné. Důkazem toho je skutečnost, že na tato varování nenarazíte, když k Google nepřistupujete prostřednictvím serveru proxy.

Komentáře

• Jen pro upřesnění. Nepoužívám proxy. Jedná se o běžný přístup, který získávám, když cestuji / žiji ve východní Evropě. Proxy server může skrýt se, takže je rozumné, že za některými podezřeními může být aktivita. V mém případě jsou všichni uživatelé daného poskytovatele zdaněni, protože někteří z nich jsou možná špatní a to se stává se všemi poskytovateli dané “ špatné “ oblasti.
• V tomto případě by pravděpodobně byla VPN nejlepší trasa. Existuje mnoho z nich za méně než 5 $. Ukládání protokolů směrovačů by to také ‚ neuškodilo. Filtrujte provoz na google.com (nebo na jakoukoli vhodnou doménu) a vyhledejte cokoli podezřelého. Pravděpodobně k tomu došlo v důsledku předchozí činnosti a skutečně jste dostali “ špinavý “ ip. Váš poskytovatel internetových služeb by vám měl být schopen přiřadit jinou veřejně přístupnou IP adresu.

Důvod, proč se to stane je způsobeno algoritmem použitým k určení pořadí stránek na stránkách. V případě, že mnoho sledovacích souborů cookie založených na google vypadá, že pochází z jedné adresy IP, jako je tomu v situaci NATted, je obtížné přiřadit vyhledávání jednomu uživateli. Je možné, že se pokusíte úmyslně otrávit kolekci náhodným generováním sekvencí, které narazí na nějakou kolizi, a proto se objevuje tato neobvyklá stránka provozu. Pravděpodobně také používají několik metrik k určení, zda má být jedna IP adresa na tomto seznamu. Takže automatické vyhledávání, velké množství kliknutí robotů atd. Zvyšuje úroveň, dokud nedosáhne prahové hodnoty. Toto je docela ošemetná situace, protože prořezávání celé řady dřezů může vést k tomu, že velká skupina lidí nebude schopna dosáhnout jejich obsahu.

Komentáře

• Hodnocení stránek s tím nemá nic společného.
• Chcete-li určit vhodné hodnocení, musíte určit legitimitu uživatele. S ohledem na to má každá adresa IP, která vyzařuje uživatele s nevhodnými vlastnostmi, za následek označení této adresy IP neobvyklým provozem.
• Skutečným důvodem je to, že vyhledávání stojí prostředky serveru (a tedy peníze) a Google ‚ nechce roboty, kteří jej používají, protože roboti (na rozdíl od uživatelů) ‚ reklamy nevidí a nestarají se o ně.
• Ano, a k určení těchto charakteristik je třeba provést určité vzorkování ukazatelů chování z této adresy IP.