Google: "Traffico insolito dalla rete del computer"

Sebbene ciò che cercano non venga divulgato, sappiamo come il malware abusa delle ricerche di Google - gli aggressori cercheranno siti che mostrano specifici segni di vulnerabilità e useranno tale selezione di target. Quindi più ti sembra che tu stia facendo questo in modo automatico, più è probabile che tu venga bloccato.

Quindi cercare "facebook" e "michael phelps" e "ebola prevention" è probabilmente meno probabile che attiri l'attenzione, mentre la ricerca di "plugins / cart.php" o "powered by Wordpress" è un po 'più sospetta. Altri fattori minori, come ignorare i cookie e inviare a una velocità prevedibile potrebbero farti sembrare ancora più simile a una sceneggiatura. E, soprattutto, sappiamo che guardano il tuo tasso di traffico. Un sacco di ricerche in poco tempo è il modo più affidabile per farsi notare.

Questo non vuol dire che Google cerchi queste cose. Se dovessero dire ciò che stavano cercando, allora gli attaccanti prenderebbero delle misure per mascherare il loro comportamento.

Soprattutto, però: solo perché non stai facendo nulla di sospetto nel tuo browser non significa che il tuo computer non lo stia facendo in modo automatico in un modo che non puoi vedere. Il malware non ha bisogno del tuo browser per fare queste domande. Assicurati che nulla sulla tua rete stia inviando traffico che non conosci. Fai un pacchetto di cattura sul tuo gateway per essere sicuro.

Solo una teoria:

Se hai un indirizzo IP dinamico o condiviso potrebbe essere che qualcuno che aveva il tuo indirizzo ip in precedenza stava abusando della sua connessione internet per fare una ricerca automatica.

Esempi:

• Conosco alcuni provider di servizi di telefonia mobile (3g, 4g) che mettono molti clienti dietro lo stesso indirizzo IP NAT. Un tipo che si comporta male è abbastanza per rovinare le cose a tutti gli altri utenti che condividono lo stesso indirizzo IP esterno.

• I provider DSL regolari spesso ti danno un indirizzo IP dinamico. Come detto sopra, si potrebbe finire con un indirizzo IP "sporco".

Avevamo un utente che utilizzava un plugin in firefox chiamato "trackmenot" che inviava un gruppo di dati a google ogni 6 secondi. Disattivare questo o ridurre la frequenza delle connessioni ha risolto il problema.

Per rintracciare inizialmente l'utente ho effettuato il NAT di ciascuna delle nostre subnet interne su diversi IP esterni. Dopo che qualcuno ha segnalato nuovamente l'errore, abbiamo spostato la persona che ha segnalato il problema in un ulteriore gruppo di quarantena di IP di origine interni con un nuovo IP di NAT esterno. Abbiamo continuato ad aggiungere / rimuovere utenti da questo gruppo fino a quando non eravamo in 1 utente. Abbiamo oltre 100 utenti e questa procedura ha richiesto 2-3 giorni.

Spero che questo aiuti qualcuno.

A volte mi capita di farlo quando googling le questioni tecniche velocemente (manualmente), e cerco solo i risultati di ricerca per un secondo o due (senza seguire i link).

Questo succede indipendentemente dal sistema operativo in cui sono attualmente (Windows o Linux) e senza altre macchine dietro il mio NAT (senza modifiche all'IP dinamico in un istante).

Non sono installati malware, plug-in per browser o software di scraping.

E sì, sono in Russia:)

Quindi, a breve, sembra molto, Google ha rafforzato i suoi filtri per bot per E. Europe, e la semplice digitazione (e la lettura) veloce potrebbe farti temporaneamente bannare :)

Ho riscontrato gli stessi problemi se tunnelvo il mio traffico web attraverso un proxy. Non sono sicuro del perché questo sia; ma suppongo che questi proxy che stai usando siano pubblicamente disponibili, come la maggior parte dei miei.

Se questo è il caso, allora ci sono centinaia di utenti che fanno quasi richieste simultanee attraverso lo stesso server proxy come te. Sono riluttante a dire che solo questo sarebbe il motivo, dal momento che uffici e aziende più grandi potrebbero probabilmente corrispondere a questo traffico. Anche se così non fosse, verrai comunque preso a pugni per le azioni dannose di un altro utente, alcune delle quali menzionate da Google.

Se hai familiarità con i server proxy, allora saprai che l'unico indirizzo IP di cui Google è a conoscenza è quello del server proxy. L'indirizzo IP di ciascun client è noto al server proxy, ma non da Google. In questo modo, il traffico inviato da Google viene inoltrato dal server proxy al client e può essere raggiunto un magro mezzo di anonimato. Per questo motivo, Google può solo rimproverare il server proxy, non i singoli client.

Inoltre, vedo che altri utenti hanno menzionato che il traffico potrebbe provenire dal tuo computer. Questo è altamente improbabile. Ciò è evidenziato dal fatto che non si verificano questi avvisi quando non si accede a Google tramite un proxy.

Il motivo per cui ciò accade è dovuto all'algoritmo utilizzato per determinare il posizionamento delle pagine dei siti. Nell'istanza che molti cookie di tracciamento basati su google sembrano provenire da un indirizzo ip, come nel caso di una situazione di NATted, diventa difficile attribuire le ricerche a un solo utente. Si potrebbe, probabilmente, tentare di avvelenare deliberatamente la collezione generando casualmente sequenze per colpire una collisione di qualche tipo, motivo per cui viene generata questa pagina di traffico insolita. Inoltre, probabilmente usano diverse metriche per determinare se quell'indirizzo ip è destinato a essere su quella lista. Quindi una ricerca automatica, una grande quantità di clic del bot, ecc. Alza il livello fino a raggiungere la soglia. Questa è una situazione piuttosto complicata, perché il sinking di un'intera gamma potrebbe comportare l'impossibilità di raggiungere il loro contenuto un ampio gruppo di persone.