Google: "Trafic inhabituel depuis votre réseau informatique"

Bien que ce qu'ils recherchent ne soit pas divulgué, nous savons comment les logiciels malveillants abusent des recherches Google - les attaquants rechercheront des sites qui affichent des signes spécifiques de vulnérabilités et utiliseront cette sélection cible. Donc, plus vous avez l'air de faire que de manière automatisée, plus vous risquez d'être bloqué.

Ainsi, la recherche de "facebook" et "michael phelps" et "prévention ebola" est probablement moins susceptible d'attirer l'attention, tandis que la recherche de "plugins/cart.php" ou "powered by Wordpress" est un peu plus suspecte. D'autres facteurs mineurs, comme ignorer les cookies et envoyer à un rythme prévisible, pourraient vous faire ressembler encore plus à un script. Et surtout, nous savons qu'ils surveillent votre taux de trafic. De nombreuses recherches en peu de temps sont le moyen le plus fiable de vous signaler.

Cela ne veut pas dire que Google recherche ces choses. S'ils devaient dire ce qu'ils cherchaient, les attaquants prendraient des mesures pour masquer leur comportement.

Plus important encore, cependant: ce n'est pas parce que vous ne faites rien de suspect dans votre navigateur que votre ordinateur ne le fait pas de manière automatisée d'une manière que vous ne pouvez pas voir. Les logiciels malveillants n'ont pas besoin de votre navigateur pour effectuer ces requêtes. Assurez-vous que rien sur votre réseau n'envoie de trafic que vous ne connaissez pas. Effectuez une capture de paquets sur votre passerelle pour en être sûr.

Juste une théorie:

Si vous avez une adresse IP dynamique ou partagée, il se peut que quelqu'un qui avait votre adresse IP auparavant abuse de sa connexion Internet pour effectuer une recherche automatique.

Exemples:

• Je connais certains fournisseurs d'accès Internet mobile (3g, 4g) qui ont mis de nombreux clients derrière la même adresse IP NAT. Un gars qui se comporte mal suffit pour gâcher les choses pour tous les autres utilisateurs partageant la même adresse) adresse IP externe.

• Les fournisseurs DSL réguliers vous donnent souvent une adresse IP dynamique. Comme indiqué ci-dessus, vous pourriez vous retrouver avec une adresse IP "sale".

Nous avons eu un utilisateur utilisant un plugin dans Firefox appelé "trackmenot" qui envoyait un tas de données à Google toutes les 6 secondes. La désactivation ou la réduction de la fréquence des connexions a résolu le problème.

Pour retrouver initialement l'utilisateur, j'ai NATé chacun de nos sous-réseaux internes sur différentes IP externes. Après que quelqu'un ait à nouveau signalé l'erreur, nous avons déplacé la personne signalant le problème dans un groupe de quarantaine supplémentaire d'adresses IP source internes avec une nouvelle adresse IP externe NAT. Nous avons continué à ajouter/supprimer des utilisateurs de ce groupe jusqu'à ce que nous soyons réduits à 1 utilisateur. Nous avons plus de 100 utilisateurs et ce processus a pris 2-3 jours.

J'espère que ça aidera quelqu'un.

Il m'arrive parfois de le faire lorsque je recherche rapidement des informations techniques sur Google (manuellement) et que je ne recherche les résultats de recherche qu'une seconde ou deux (sans suivre les liens).

Cela se produit quel que soit le système d'exploitation sur lequel je suis actuellement (Windows ou Linux), et sans aucune autre machine derrière mon NAT (sans changements dynamiques d'IP dans un certain temps).

Aucun logiciel malveillant, plug-in de navigateur ou logiciel de grattage n'est installé.

Et oui, je suis en Russie :)

Donc, sous peu, il semble que Google ait ses filtres de robots renforcés pour E. Europe, et simplement taper (et lire) rapidement peut vous interdire temporairement :)

Je rencontre les mêmes problèmes si je tunnel mon trafic Web via un proxy. Je ne sais pas pourquoi c'est; mais je suppose que ces procurations que vous utilisez sont accessibles au public, comme la plupart des miennes.

Si tel est le cas, il y a de fortes chances que des centaines d'utilisateurs effectuent des demandes presque simultanées via le même serveur proxy que vous. J'hésite à dire que ce serait la seule raison, car les grands bureaux/entreprises pourraient probablement correspondre à ce trafic. Même si ce n'est pas le cas, vous serez toujours giflé au poignet pour les actions malveillantes d'un autre utilisateur, dont Google a mentionné quelques-unes.

Si vous êtes familier avec les serveurs proxy, vous saurez que la seule adresse IP connue de Google est celle du serveur proxy. L'adresse IP de chaque client est connue du serveur proxy, mais pas de Google. De cette façon, le trafic envoyé par Google est transmis du serveur proxy au client, et un maigre moyen d'anonymat peut être obtenu. Pour cette raison, Google ne peut que réprimander le serveur proxy, pas les clients individuels.

De plus, je vois que d'autres utilisateurs ont mentionné que le trafic pouvait provenir de votre ordinateur. C'est hautement peu probable. Cela est démontré par le fait que vous ne rencontrez pas ces avertissements lorsque vous n'accédez pas à Google via un proxy.

La raison pour laquelle cela se produit est due à l'algorithme utilisé pour déterminer le classement des pages des sites. Dans le cas où de nombreux cookies de suivi basés sur Google semblent provenir d'une seule adresse IP, comme c'est le cas dans une situation NAT, il devient difficile d'attribuer les recherches à un seul utilisateur. Vous pourriez, en théorie, essayer d'empoisonner délibérément la collection en générant au hasard des séquences pour frapper une collision quelconque, c'est pourquoi cette page de trafic inhabituelle est générée. En outre, ils utilisent probablement plusieurs métriques pour déterminer si cette adresse IP est censée figurer sur cette liste. Ainsi, une recherche automatisée, de grandes quantités de clics de robots, etc., élève le niveau jusqu'à ce qu'il atteigne le seuil. Il s'agit d'une situation assez délicate, car le trou de coulée d'une gamme entière pourrait empêcher un grand groupe de personnes d'accéder à leur contenu.