Google: “ Trafic inhabituel de votre réseau informatique ”

Bien que ce quils recherchent ne soit pas divulgué, nous savons comment les logiciels malveillants abusent des recherches Google – les attaquants rechercheront des sites présentant des signes spécifiques de vulnérabilités et utiliseront cette sélection de cibles. Donc, plus vous semblez faire cela de manière automatisée, plus vous risquez dêtre bloqué.

Donc, recherchez « facebook » et « michael phelps » et « prévention du virus Ebola » est probablement moins susceptible dattirer lattention, tandis que la recherche de « plugins / cart.php » ou « powered by WordPress » est un peu plus suspecte. Dautres facteurs mineurs, comme ignorer les cookies et envoyer à un rythme prévisible, peuvent entraîner vous ressemblez encore plus à un script. Et surtout, nous savons quils surveillent votre taux de trafic. De nombreuses recherches en peu de temps sont le moyen le plus fiable de vous signaler.

Ce nest pas disent que Google recherche ces choses. Sils devaient dire ce quils recherchaient, les attaquants prendraient des mesures pour masquer leur comportement.

Mais le plus important: le fait que vous ne faites rien de suspect dans votre navigateur ne signifie pas que votre ordinateur ne le fait pas de manière automatisée dune manière que vous ne pouvez pas voir. Les logiciels malveillants nont pas besoin de votre navigateur pour effectuer ces requêtes. Assurez-vous que rien sur votre réseau nenvoie du trafic que vous ne connaissez pas. Effectuez une capture de paquets à votre passerelle pour être sûr.

Juste une théorie:

Si vous avez une adresse IP dynamique ou partagée, il se peut que quelquun qui possédait votre adresse IP ait abusé de sa connexion Internet pour effectuer une recherche automatique.

Exemples:

• Je connais certains fournisseurs daccès Internet mobile (3g, 4g) qui placent de nombreux clients derrière la même adresse IP NAT. Un mec qui se comporte mal suffit à tout gâcher pour tous les autres utilisateurs partageant la même adresse IP externe.

• Les fournisseurs DSL classiques vous donnent souvent une adresse IP dynamique. Comme indiqué ci-dessus, vous pourriez vous retrouver avec une adresse IP « sale ».

Commentaires

• Une autre théorie : Recherchez des logiciels malveillants sur votre ordinateur, peut-être que votre ordinateur est utilisé de manière abusive comme robot de recherche par le biais de certains logiciels malveillants.
• Ce nest pas une mauvaise idée, une capture de paquets peut également montrer un trafic intéressant.
• Comment sont vous vous connectez au réseau? Une connexion partagée sur un hotspot wifi public?
• lIP nest certainement pas statique, donc NAT ou en tout cas dinamyc. Jai tendance à exclure les logiciels malveillants, car il sagit dun phénomène récurrent dans certaines régions / certains fournisseurs, pas seulement pour moi.
• Jen ai fait lexpérience en utilisant des outils automatisés qui abusent de la fonctionnalité de recherche de Google. Par exemple, des robots dexploration de pages exécutant des recherches Google à un rythme élevé.

Un utilisateur a utilisé un plugin dans Firefox appelé « trackmenot » qui envoyait un tas de données à google toutes les 6 secondes. La désactivation de cela ou la réduction de la fréquence des connexions a résolu le problème.

Pour localiser initialement lutilisateur, jai «NAT» chacun de nos sous-réseaux internes sur différentes adresses IP externes.Après que quelquun a signalé à nouveau lerreur, nous avons déplacé la personne signalant le problème dans un groupe de quarantaine supplémentaire dadresses IP source internes avec une nouvelle adresse IP NAT externe. Nous avons continué à ajouter / supprimer des utilisateurs de ce groupe jusquà ce que nous nayons plus quun seul utilisateur. Nous avons plus de 100 utilisateurs et ce processus a pris 2 à 3 jours.

Jespère que cela aidera quelquun.

Je rencontre parfois ce problème lorsque je cherche rapidement des problèmes techniques sur Google (manuellement), et que je ne recherche les résultats de recherche que pendant une seconde ou deux (sans suivre les liens).

Cela se produit quel que soit le système dexploitation I « m actuellement sous (Windows ou Linux), et sans aucune autre machine derrière mon NAT (sans changement dadresse IP dynamique depuis un certain temps).

Il ny a aucun logiciel malveillant, plug-in de navigateur ou logiciel de récupération installé.

Et oui, je suis en Russie 🙂

Donc, sous peu, il semble bien que Google ait resserré ses filtres de bot pour lEurope de lEst, et se contente de taper (et de lire) rapidement peut vous faire bannir temporairement 🙂

Commentaires

• .. et nous y revoilà; bravo de Mère Russie 🙂

Je rencontre les mêmes problèmes si je tunnel mon trafic Web via un proxy. Je ne sais pas pourquoi; mais je suppose que ces proxys que vous utilisez sont accessibles au public, comme la plupart des miens.

Si tel est le cas, il y a de fortes chances que des centaines dutilisateurs effectuent des requêtes presque simultanées via le même serveur proxy que vous. Jhésite à dire que ce seul serait la raison, car les plus grands bureaux / entreprises pourraient probablement correspondre à ce trafic. Même si ce nest pas le cas, vous serez toujours frappé au poignet pour les actions malveillantes dun autre utilisateur , dont certains ont été mentionnés par Google.

Si vous êtes familier avec les serveurs proxy, vous saurez que la seule adresse IP que Google connaît est celle du serveur proxy. Ladresse IP de chaque client est connue du serveur proxy, mais pas de Google. De cette manière, le trafic envoyé par Google est transféré du serveur proxy vers le client, et un maigre moyen danonymat peut être obtenu. Pour cette raison , Google ne peut réprimander que le serveur proxy, pas les clients individuels.

De plus, je vois que dautres utilisateurs ont mentionné que le trafic pourrait provenir de votre ordinateur. Il sagit de hautement peu probable. Ceci est démontré par le fait que vous ne rencontrez pas ces avertissements lorsque vous n’accédez pas à Google via un proxy.

Commentaires

• Juste pour clarifier. Je nutilise pas de proxy. Cest laccès ordinaire que jobtiens lorsque je voyage / vis en Europe de lEst. Un serveur proxy peut être utilisé pour se cacher, il est donc raisonnable quune activité suspecte puisse se produire. Dans mon cas, tous les utilisateurs dun fournisseur donné sont taxés, car certains dentre eux sont peut-être mauvais et cela se produit avec tous les fournisseurs dune région  » bad « .
• Dans ce cas, un VPN serait probablement le meilleur itinéraire. Il y en a de nombreux disponibles pour moins de 5 $. La sauvegarde des journaux de vos routeurs ne ferait pas ‘ de mal non plus. Filtrez le trafic pour google.com (ou quel que soit le domaine approprié) et recherchez tout élément suspect. Cela a probablement été fait suite à une activité précédente et vous avez effectivement reçu une adresse IP  » dirty « . Votre fournisseur daccès Internet devrait être en mesure de vous attribuer une adresse IP publique différente.

La raison pour laquelle cela se produit est dû à lalgorithme utilisé pour déterminer le classement des pages des sites. Dans le cas où de nombreux cookies de suivi basés sur Google semblent provenir dune seule adresse IP, comme cest le cas dans une situation NATted, il devient difficile dattribuer les recherches à un seul utilisateur. Vous pourriez, en théorie, essayer dempoisonner délibérément la collection en générant de manière aléatoire des séquences pour provoquer une collision quelconque, cest pourquoi cette page de trafic inhabituelle est créée. En outre, ils utilisent probablement plusieurs métriques pour déterminer si cette adresse IP est censée figurer sur cette liste. Ainsi, une recherche automatisée, de grandes quantités de clics de robots, etc., élève le niveau jusquà ce quil atteigne le seuil. Cest une situation assez délicate, car le fait de creuser une plage entière pourrait empêcher un grand groupe de personnes daccéder à leur contenu.

Commentaires

• Le classement des pages na rien à voir avec cela.
• Pour déterminer le classement approprié, vous devez déterminer la légitimité de lutilisateur. Dans cet esprit, toute adresse IP qui émet des utilisateurs avec des caractéristiques inappropriées entraîne le signalement de cette adresse IP avec un trafic inhabituel.
• La vraie raison pour laquelle cela se produit est que la recherche coûte des ressources serveur (et donc de largent) et Google ne veut ‘ t que les bots lutilisent parce que les bots (par opposition aux utilisateurs) ne ‘ ne voient ni ne se soucient des annonces.
• Oui, et pour déterminer ces caractéristiques, il doit y avoir un échantillon des marqueurs comportementaux de cette adresse IP.