Google: “ Ongebruikelijk verkeer van uw computernetwerk ”

Hoewel wat ze zoeken niet wordt onthuld, weten we wel hoe malware Google-zoekopdrachten misbruikt – aanvallers zoeken naar sites die specifieke tekenen van kwetsbaarheden vertonen en gebruiken die doelselectie. Dus hoe meer het lijkt alsof je dat automatisch doet, hoe groter de kans dat je wordt geblokkeerd.

Dus als je zoekt naar “Facebook” en “Michael Phelps” en ebola-preventie trekt waarschijnlijk minder de aandacht, terwijl het zoeken naar plugins / cart.php of powered by WordPress een beetje meer verdacht is. Andere kleine factoren, zoals het negeren van cookies en het verzenden met een voorspelbare snelheid je ziet er nog meer uit als een script. En het allerbelangrijkste: we weten dat ze je verkeerssnelheid in de gaten houden. Veel zoekopdrachten in een korte tijd zijn de meest betrouwbare manier om jezelf te markeren.

Dat hoef je niet te doen zeg dat Google naar deze dingen zoekt. Als ze zeggen zouden waarnaar ze op zoek waren, zouden aanvallers maatregelen nemen om hun gedrag te maskeren.

Maar het allerbelangrijkste: alleen omdat u “niets verdachts doet in uw browser” betekent niet dat uw computer het niet automatisch doet op een manier die u niet kunt zien. Malware heeft uw browser niet nodig om deze zoekopdrachten uit te voeren. Zorg ervoor dat niets op uw netwerk verkeer verzendt waarvan u niet op de hoogte bent. Maak voor de zekerheid een pakketopname bij uw gateway.

Gewoon een theorie:

Als je een dynamisch of gedeeld ip-adres hebt. Het kan zijn dat iemand die je ip-adres eerder had zijn internetverbinding misbruikte om automatisch te zoeken.

Voorbeelden:

• Ik ken enkele mobiele internetproviders (3g, 4g) die veel klanten achter hetzelfde NAT ip-adres zetten. Eén man die zich misdraagt is genoeg om dingen te verpesten voor alle andere gebruikers die hetzelfde externe ip-adres delen.

• Gewone DSL-providers geven je vaak een dynamisch IP-adres. Zoals hierboven vermeld, zou je een “vuil” ip-adres kunnen krijgen.

Reacties

• Een andere theorie : Controleer uw computer op malware, misschien wordt uw computer misbruikt als zoekrobot door middel van malware.
• Geen slecht idee, een pakketopname kan ook interessant verkeer opleveren.
• Hoe gaat het met maakt u verbinding met het netwerk? Een gedeelde verbinding via een openbare wifi-hotspot?
• het IP-adres is zeker niet statisch, dus NAT of toch dinamyc. Ik sluit malware meestal uit, omdat het een terugkerend fenomeen is in sommige regios / providers, niet alleen voor mij.
• Ik heb dit ervaren bij het gebruik van geautomatiseerde tools die de zoekfunctionaliteit van Google misbruiken. Bijvoorbeeld paginacrawlers die met hoge snelheid door Google-zoekopdrachten rennen.

We hadden een gebruiker die een plug-in in firefox genaamd “trackmenot” die elke 6 seconden een hoop gegevens naar Google stuurde. Door dit uit te schakelen of de frequentie van de verbindingen te verminderen, werd het probleem opgelost.

Om de gebruiker in eerste instantie op te sporen, heb ik elk van onze interne subnetten NAT via verschillende externe IP-adressen.Nadat iemand de fout opnieuw had gemeld, hebben we de persoon die het probleem meldde, verplaatst naar een extra quarantainegroep van interne bron-IP-adressen met een nieuw extern NAT-IP-adres. We bleven gebruikers toevoegen / verwijderen uit deze groep totdat we nog maar 1 gebruiker hadden. We hebben 100+ gebruikers en dit proces heeft 2-3 dagen geduurd.

Ik hoop dat dit iemand helpt.

Ik stuit hier wel eens op als ik snel technische zaken googled (handmatig), en slechts een seconde of twee naar zoekresultaten zoek (zonder de links te volgen).

Dit gebeurt ongeacht het besturingssysteem dat ik m momenteel aan (Windows of Linux), en zonder enige andere machine achter mijn NAT (zonder dynamische IP-wijzigingen in een tijdje).

Er is geen malware, browserplug-ins of scrapingsoftware geïnstalleerd.

En ja, ik ben in Rusland 🙂

Binnenkort lijkt het erop dat Google zijn botfilters heeft aangescherpt voor E. Europa, en alleen maar snel typen (en lezen) kan je tijdelijk verbannen 🙂

Reacties

• ..en daar gaan we weer; proost van Moeder Rusland 🙂

Ik ervaar dezelfde problemen als ik mijn webverkeer door een proxy tunnel. Ik weet niet zeker waarom dit zo is; maar ik vermoed dat deze proxys die u gebruikt openbaar beschikbaar zijn, zoals de meeste van de mijne.

Als dit het geval is, is de kans groot dat honderden gebruikers bijna gelijktijdige verzoeken doen via dezelfde proxyserver als jij. Ik aarzel om te zeggen dat dit alleen de reden zou zijn, aangezien grotere kantoren / bedrijven waarschijnlijk aan dit verkeer zouden kunnen voldoen. Zelfs als dit niet het geval is, wordt u nog steeds op de pols geslagen voor de kwaadaardige acties van een andere gebruiker , waarvan Google er een paar heeft genoemd.

Als u ‘bekend bent met proxyservers, dan weet u dat het enige IP-adres dat Google kent, dat van de proxyserver is. Het IP-adres van elke klant is bekend bij de proxyserver, maar niet bij Google. Op deze manier wordt het verkeer dat van Google wordt verzonden, doorgestuurd van de proxyserver naar de klant, en kan een schamele manier van anonimiteit worden bereikt. Om deze reden Kan Google alleen de proxyserver berispen, niet de individuele clients.

Ik zie ook dat sommige andere gebruikers hebben gezegd dat het verkeer mogelijk afkomstig is van uw computer. Dit is hoogst onwaarschijnlijk. Dit blijkt uit het feit dat u deze waarschuwingen niet tegenkomt wanneer u Google niet benadert via een proxy.

Opmerkingen

• Ter verduidelijking. Ik gebruik geen proxy. Het is de normale toegang die ik krijg als ik reis / woon in Oost-Europa. Een proxyserver kan worden gebruikt om uzelf te verstoppen, dus het is redelijk dat er een vermoeden van activiteit achter kan plaatsvinden. In mijn geval worden alle gebruikers van een bepaalde provider belast, omdat sommigen van hen mogelijk slecht zijn en dit gebeurt met alle providers van een bepaalde ” slechte ” regio.
• In dit geval zou een VPN waarschijnlijk de beste route. Er zijn er talloze beschikbaar voor minder dan $ 5. Het opslaan van je routerslogboeken zou ook geen ‘ pijn doen. Filter verkeer voor google.com (of wat ook maar het juiste domein zou zijn) en zoek naar iets verdachts. Waarschijnlijk is dit gedaan als resultaat van eerdere activiteit en heb je inderdaad een ” vuile ” ip gekregen. Uw ISP-instantie zou u een ander openbaar IP-adres moeten kunnen toewijzen.

De reden waarom dit gebeurt is te wijten aan het algoritme dat wordt gebruikt om de paginarangschikking van de sites te bepalen. In het geval dat veel op Google gebaseerde tracking cookies afkomstig lijken te zijn van één ip-adres, zoals het geval is in een NATted-situatie, wordt het moeilijk om de zoekopdrachten aan die ene gebruiker toe te schrijven. Het is mogelijk dat je opzettelijk probeert de verzameling te vergiftigen door willekeurig reeksen te genereren die op een of andere manier een botsing veroorzaken, en daarom wordt deze pagina met ongebruikelijk verkeer voortgebracht. Ze gebruiken waarschijnlijk ook verschillende statistieken om te bepalen of dat ene IP-adres bedoeld is om op die lijst te staan. Dus een geautomatiseerde zoekopdracht, grote hoeveelheden bot-klikken enz., Verhoogt het niveau totdat het de drempel bereikt. Dit is een behoorlijk lastige situatie, omdat een gootsteen een hele reeks doorboort kan ertoe leiden dat een grote groep mensen hun inhoud niet kan bereiken.

Reacties

• Paginarangschikking heeft er niets mee te maken.
• Om de juiste rangorde te bepalen, moet u de legitimiteit van de gebruiker bepalen. Met dat in gedachten resulteert elk ip-adres dat gebruikers met ongepaste kenmerken uitzendt, dat dat ip-adres wordt gemarkeerd met ongebruikelijk verkeer.
• De echte reden waarom dit gebeurt, is omdat zoeken serverbronnen (en dus geld) kost en Google wil niet ‘ niet dat bots het gebruiken omdat bots (in tegenstelling tot gebruikers) geen ‘ advertenties zien of er niet om geven.
• Ja, en om die kenmerken te bepalen, moet er een steekproef zijn van de gedragsmarkeringen van dat ip-adres.