Google: “ Tráfico inusual de su red informática ”

Si bien lo que buscan no se revela, sabemos cómo el malware abusa de las búsquedas de Google: los atacantes buscarán sitios que muestren signos específicos de vulnerabilidades y utilizarán esa selección de objetivos. Por lo tanto, cuanto más parezca que está haciendo eso de forma automática, es más probable que lo bloqueen.

Entonces, busque «facebook» y «michael phelps» y la «prevención del ébola» probablemente llame menos la atención, mientras que la búsqueda de «plugins / cart.php» o «con tecnología de WordPress» es un poco más sospechosa. Otros factores menores, como ignorar las cookies y enviar a un ritmo predecible, pueden hacer te pareces aún más a una secuencia de comandos. Y, lo más importante, sabemos que ellos controlan tu tasa de tráfico. Muchas búsquedas en poco tiempo es la forma más confiable de marcarte.

Eso no es para decir que Google busca estas cosas. Si dijera lo que buscaba, los atacantes tomarían medidas para enmascarar su comportamiento.

Sin embargo, lo más importante: el hecho de que no esté haciendo nada sospechoso en su navegador no significa que su computadora no lo esté haciendo de forma automatizada de una manera que usted no pueda ver. El malware no necesita su navegador para realizar estas consultas. Asegúrese de que nada en su red esté enviando tráfico que no conoce. Realice una captura de paquetes en su puerta de enlace para estar seguro.

Solo una teoría:

Si si tiene una dirección IP dinámica o compartida, podría ser que alguien que tenía su dirección IP antes estuviera abusando de su conexión a Internet para realizar una búsqueda automática.

Ejemplos:

• Conozco algunos proveedores de Internet móvil (3g, 4g) que ponen a muchos clientes detrás de la misma dirección IP de NAT. Un tipo que se porta mal es suficiente para arruinar las cosas para todos los demás usuarios que comparten la misma dirección IP externa.

• Los proveedores habituales de DSL a menudo le brindan una dirección IP dinámica. Como se indicó anteriormente, podría terminar con una dirección IP «sucia».

Comentarios

• Otra teoría : Revise su computadora en busca de malware, tal vez su computadora sea objeto de abuso como robot de búsqueda a través de algún malware.
• No es una mala idea, una captura de paquetes también puede mostrar tráfico interesante.
• ¿Cómo están te conectas a la red? ¿Una conexión compartida a través de un punto de acceso wifi público?
• La IP seguramente no es estática, así que NAT o dinamyc de todos modos. Tiendo a excluir el malware, porque es un fenómeno recurrente en algunas regiones / proveedores, no solo para mí.
• He experimentado esto al usar herramientas automatizadas que abusan de la funcionalidad de búsqueda de Google. Por ejemplo, los rastreadores de páginas que realizan búsquedas de Google a gran velocidad.

Tuvimos un usuario que usaba un plugin en firefox llamado «trackmenot» que enviaba un montón de datos a google cada 6 segundos. Deshabilitar esto o reducir la frecuencia de las conexiones resolvió el problema.

Para rastrear inicialmente al usuario, hice NAT en cada una de nuestras subredes internas sobre diferentes IP externas.Después de que alguien informara el error de nuevo, trasladamos a la persona que informa del problema a un grupo de cuarentena adicional de IP de origen interno con una nueva IP externa de NAT. Seguimos agregando / eliminando usuarios de este grupo hasta que nos quedamos con 1 usuario. Tenemos más de 100 usuarios y este proceso tomó de 2 a 3 días.

Espero que esto ayude a alguien.

A veces llego a esto cuando busco en Google asuntos técnicos rápidamente (manualmente) y solo busco resultados de búsqueda durante uno o dos segundos (sin seguir los enlaces).

Esto sucede independientemente del SO I «m actualmente en (Windows o Linux), y sin ninguna otra máquina detrás de mi NAT (sin cambios dinámicos de IP en un tiempo).

No hay malware, complementos de navegador ni software de raspado instalado.

Y sí, estoy en Rusia 🙂

Así que, en breve, parece que Google tiene sus filtros de bot ajustados para Europa del Este, y simplemente escribe (y lee) rápido puede que te baneen temporalmente 🙂

Comentarios

• … y aquí vamos de nuevo; saludos de la Madre Rusia 🙂

Experimento los mismos problemas si canalizo mi tráfico web a través de un proxy. No estoy seguro de por qué; pero supongo que estos proxies que estás usando están disponibles públicamente, como la mayoría de los míos.

Si este es el caso, es probable que haya cientos de usuarios realizando solicitudes casi simultáneas a través del mismo servidor proxy que usted. Dudo en decir que esta sola sería la razón, ya que las oficinas / negocios más grandes probablemente podrían igualar este tráfico. Incluso si este no es el caso, usted será golpeado en la muñeca por las acciones maliciosas de otro usuario. , algunas de las cuales mencionó Google.

Si está familiarizado con los servidores proxy, entonces sabrá que la única dirección IP que Google conoce es la del servidor proxy. La dirección IP de cada cliente es conocida por el servidor proxy, pero no por Google. De esta manera, el tráfico enviado desde Google se reenvía desde el servidor proxy al cliente, y se puede lograr un escaso medio de anonimato. Por este motivo , Google solo puede reprender al servidor proxy, no a los clientes individuales.

Además, veo que otros usuarios han mencionado que el tráfico podría provenir de su computadora. Esto es muy poco probable. Esto se evidencia por el hecho de que no se encuentra con estas advertencias cuando no accede a Google a través de un proxy.

Comentarios

• Solo para aclarar. No estoy usando un proxy. Es el acceso normal que obtengo cuando viajo / vivo en Europa del Este. Un servidor proxy puede ser utilizado para esconderse, por lo que es razonable que alguna actividad de sospechas pueda suceder detrás. En mi caso todos los usuarios de un determinado proveedor pagan impuestos, porque algunos de ellos posiblemente sean malos y esto sucede con todos los proveedores de una región » mala » determinada.
• En este caso, una VPN sería probablemente la mejor ruta. Hay varios disponibles por menos de $ 5. Guardar los registros de los enrutadores tampoco ‘ perjudicaría. Filtre el tráfico de google.com (o el dominio apropiado) y busque cualquier cosa sospechosa. Es probable que esto se haya hecho como resultado de una actividad anterior y, de hecho, se le dio una IP » sucia «. El organismo de su ISP debería poder asignarle una IP pública diferente.

La razón por la que esto sucede se debe al algoritmo utilizado para determinar el ranking de páginas de los sitios. En el caso de que muchas cookies de seguimiento basadas en Google parezcan provenir de una dirección IP, como es el caso en una situación con NAT, resulta difícil atribuir las búsquedas a un solo usuario. Podría, posiblemente, estar tratando de envenenar deliberadamente la colección generando secuencias aleatoriamente para dar con una colisión de algún tipo, razón por la cual se genera esta página de tráfico inusual. Además, probablemente utilicen varias métricas para determinar si esa dirección IP está destinada a estar en esa lista. Entonces, una búsqueda automatizada, grandes cantidades de clics de bots, etc., eleva el nivel hasta que alcanza el umbral. Esta es una situación bastante complicada, porque hundir un rango completo podría resultar en que un gran grupo de personas no pueda acceder a su contenido.

Comentarios

• La clasificación de la página no tiene nada que ver con eso.
• Para determinar la clasificación adecuada, es necesario determinar la legitimidad del usuario. Teniendo esto en cuenta, cualquier dirección IP que emita usuarios con características inapropiadas da como resultado que esa dirección IP se marque con tráfico inusual.
• La verdadera razón por la que esto sucede es porque la búsqueda cuesta recursos del servidor (y por lo tanto dinero) y Google no ‘ no quiere que los bots lo usen porque los bots (a diferencia de los usuarios) no ‘ no ven ni se preocupan por los anuncios.
• Sí, y para determinar esas características, debe haber una muestra de los marcadores de comportamiento de esa dirección IP.