Google: “ Tráfego incomum de sua rede de computadores ”

Embora o que eles procuram não seja divulgado, sabemos como o malware abusa das pesquisas do Google – os invasores procuram sites que exibem sinais específicos de vulnerabilidades e usam essa seleção de alvo. Portanto, quanto mais parece que você está fazendo isso de maneira automatizada, mais chances você tem de ser bloqueado.

Então, pesquisar por “facebook” e “michael phelps” e a “prevenção do ebola” provavelmente atrairá menos atenção, enquanto a pesquisa por “plugins / cart.php” ou “desenvolvido com WordPress” é um pouco mais suspeita. Outros fatores menores, como ignorar cookies e enviar em uma taxa previsível, podem fazer você se parece ainda mais com um script. E o mais importante, sabemos que eles observam sua taxa de tráfego. Muitas pesquisas em um curto espaço de tempo são a maneira mais confiável de ser sinalizado.

Isso não é para diga que o Google procura por essas coisas. Se eles tivessem que dizer o que estavam procurando, os invasores tomariam medidas para mascarar seu comportamento.

Mais importante, porém: só porque você não está fazendo nada suspeito em seu navegador, não significa que seu computador não esteja fazendo isso de forma automatizada de uma maneira que você não pode ver. O malware não precisa do seu navegador para fazer essas consultas. Certifique-se de que nada na sua rede está enviando tráfego que você não conhece. Faça uma captura de pacote em seu gateway para ter certeza.

Apenas uma teoria:

Se você tem um endereço IP dinâmico ou compartilhado, pode ser que alguém que tinha seu endereço IP antes estava abusando de sua conexão de internet para fazer alguma busca automática.

Exemplos:

• Eu conheço alguns provedores de internet móvel (3g, 4g) que colocam muitos clientes atrás do mesmo endereço IP NAT. Um cara malcomportado é suficiente para bagunçar as coisas para todos os outros usuários que compartilham o mesmo endereço IP externo.

• Provedores de DSL regulares geralmente fornecem um endereço IP dinâmico. Como afirmado acima, você pode acabar com um endereço IP “sujo”.

Comentários

• Outra teoria : Verifique se há malware em seu computador, talvez seu computador tenha sido usado como robô de pesquisa por meio de algum malware.
• Não é uma má ideia, uma captura de pacote também pode mostrar tráfego interessante.
• Como está você está se conectando na rede? Uma conexão compartilhada em um ponto de acesso wi-fi público?
• o IP com certeza não é estático, então NAT ou dinamyc de qualquer maneira. Eu tendo a excluir malware, porque é um fenômeno recorrente em algumas regiões / provedores não apenas para mim.
• Eu experimentei isso ao usar ferramentas automatizadas que abusam da funcionalidade de pesquisa do Google. Por exemplo, rastreadores de páginas que executam pesquisas no Google em alta taxa.

Tivemos um usuário usando um plugin no firefox chamado “trackmenot” que estava enviando um monte de dados para o google a cada 6 segundos. Desativar ou reduzir a frequência das conexões resolveu o problema.

Para rastrear inicialmente o usuário, efetuei o NAT de cada uma de nossas sub-redes internas em diferentes IPs externos.Depois que alguém relatou o erro novamente, movemos a pessoa que relatou o problema para um grupo de quarentena adicional de IPs de origem interna com um novo IP externo NAT. Continuamos adicionando / removendo usuários deste grupo até chegarmos a 1 usuário. Temos mais de 100 usuários e esse processo levou de 2 a 3 dias.

Espero que isso ajude alguém.

Às vezes, acerto isso quando procuro no Google assuntos técnicos rapidamente (manualmente) e só procuro os resultados da pesquisa por um ou dois segundos (sem seguir os links).

Isso acontece independentemente do sistema operacional que eu estou atualmente em (Windows ou Linux), e sem nenhuma outra máquina atrás do meu NAT (sem mudanças dinâmicas de IP por algum tempo).

Não há malware, plug-ins de navegador ou software de scraping instalado.

E sim, estou na Rússia 🙂

Então, em breve, ao que parece, o Google tem seus filtros de bot aprimorados para a Europa da Europa, e apenas digitando (e lendo) rápido pode fazer com que você seja banido temporariamente 🙂

Comentários

• ..e lá vamos nós de novo; gritos da Mãe Rússia 🙂

Terei os mesmos problemas se encapsular meu tráfego da web por meio de um proxy. Não tenho certeza do motivo; mas suponho que esses proxies que você está usando estão publicamente disponíveis, como a maioria dos meus.

Se este for o caso, então há chances de centenas de usuários fazendo solicitações quase simultâneas por meio do mesmo servidor proxy que você. Hesito em dizer que só esse seria o motivo, uma vez que escritórios / empresas maiores provavelmente poderiam corresponder a esse tráfego. Mesmo que não seja o caso, você ainda receberá um tapa no pulso pelas ações maliciosas de outro usuário , alguns dos quais o Google mencionou.

Se você estiver familiarizado com servidores proxy, saberá que o único endereço IP que o Google conhece é o do servidor proxy. O endereço IP de cada cliente é conhecido pelo servidor proxy, mas não pelo Google. Dessa forma, o tráfego enviado do Google é encaminhado do servidor proxy para o cliente, e um meio de anonimato pode ser alcançado. Por esse motivo , O Google só pode repreender o servidor proxy, não os clientes individuais.

Além disso, vejo que alguns outros usuários mencionaram que o tráfego pode ser originado do seu computador. Este é altamente improvável. Isso é evidenciado pelo fato de que você não recebe esses avisos quando não está acessando o Google por meio de um proxy.

Comentários

• Só para esclarecer. Não estou usando um proxy. É o acesso comum que recebo quando viajo / moro na Europa Oriental. Um servidor proxy pode ser usado para se esconder, por isso é razoável que alguma atividade suspeita possa acontecer por trás. No meu caso todos os usuários de um determinado provedor são tributados, pois alguns deles são possivelmente ruins e isso acontece com todos os provedores de uma determinada região ” ruim “.
• Nesse caso, uma VPN provavelmente seria a melhor rota. Existem vários disponíveis por menos de $ 5. Salvar seus logs de roteadores não ‘ prejudicaria também. Filtre o tráfego de google.com (ou qualquer que seja o domínio apropriado) e procure por qualquer coisa suspeita. Provavelmente isso foi feito como resultado da atividade anterior e você realmente recebeu um ip ” sujo “. O corpo do seu ISP deve ser capaz de atribuir a você um IP público diferente.

O motivo disso acontecer é devido ao algoritmo usado para determinar a classificação da página dos sites. No caso em que muitos cookies de rastreamento baseados no Google parecem vir de um endereço IP, como é o caso em uma situação de NAT, torna-se difícil atribuir as pesquisas a um único usuário. Você poderia, concebivelmente, estar tentando envenenar deliberadamente a coleção, gerando sequências aleatoriamente para atingir algum tipo de colisão, razão pela qual essa página de tráfego incomum é gerada. Além disso, eles provavelmente usam várias métricas para determinar se aquele endereço IP deve estar na lista. Portanto, uma pesquisa automatizada, grandes quantidades de cliques de bots, etc., aumenta o nível até atingir o limite. Esta é uma situação bastante complicada, porque afundar uma área inteira pode resultar em um grande grupo de pessoas incapaz de acessar seu conteúdo.

Comentários

• A classificação da página não tem nada a ver com isso.
• Para determinar a classificação apropriada, você precisa determinar a legitimidade do usuário. Com isso em mente, qualquer endereço IP que emita usuários com características inadequadas resulta na sinalização desse endereço IP com tráfego incomum.
• A verdadeira razão para isso acontecer é porque a pesquisa custa recursos do servidor (e, portanto, dinheiro) e O Google não ‘ quer que os bots o usem porque os bots (ao contrário dos usuários) não ‘ não veem nem se importam com os anúncios.
• Sim, e para determinar essas características, é necessário que haja alguma amostra dos marcadores comportamentais desse endereço IP.