Google：「コンピュータネットワークからの異常なトラフィック」

Question

ロシア語圏でグーグルで検索しているときに、「コンピュータネットワークからの異常なトラフィック」というメッセージがよく表示されます。

Googleはこれについて次のように説明しています。

ネットワーク上のコンピューターまたは電話がGoogleに自動トラフィックを送信している可能性があることをGoogleが検出した場合、「システムがコンピューターネットワークからの異常なトラフィックを検出しました」と表示される場合があります。

自動トラフィックには以下が含まれます：

ロボット、コンピュータープログラム、自動化サービス、または検索スクレイパーから検索を送信するGoogleに検索を送信するソフトウェアを使用して、GoogleでのWebサイトまたはWebページのランク付けを確認する

ほとんどの場合、Googleは単に動作を停止し、Bingを使用する必要があります。

グーグルが言っていることにもかかわらず、私はまだここでの誤動作が何であるかわかりませんか？もしあれば、プライバシー/セキュリティの問題は何ですか？
なぜこれが東ヨーロッパの一部の地域で非常に定期的に発生するのか、そして何よりも、なぜそれが不正なトラフィックを送信しているユーザーだけでなく、ネットワークのすべてのユーザーに影響を与えるのか。

「自動化されたトラフィック」は、サーバーをフラッディングしようとする何かの控えめな表現ですか？

tylerl · Answer

マルウェアがGoogleの検索を悪用する方法はわかっていますが、攻撃者は特定の脆弱性の兆候を示すサイトを検索し、そのターゲット選択を使用します。つまり、自動化された方法でthatを実行しているように見えるほど、ブロックされる可能性が高くなります。

したがって、「facebook」、「michael phelps」、「ebola Prevention」を検索することはおそらく注意を引く可能性が低く、「plugins/cart.php」または「powered by Wordpress」を検索することは少し疑わしいです。 Cookieを無視したり、予測可能な速度で送信したりするなど、その他のマイナーな要因により、スクリプトのように見える可能性があります。そして最も重要なことは、彼らがあなたのトラフィックレートを監視していることを知っています。短時間で大量の検索を行うことは、フラグを立てるための最も信頼できる方法です。

それはGoogleがこれらのものを探すと言っているのではありません。もし彼らがsayを探していたら、攻撃者は自分の行動を隠すための対策を講じます。

ただし、最も重要なことは、ブラウザーで不審なことを何もしていないからといって、コンピューターが見えない方法で自動化されていないということではありません。マルウェアは、これらのクエリを行うためにブラウザを必要としません。ネットワーク上の何も知らないトラフィックを送信していないことを確認してください。確実にゲートウェイでパケットキャプチャを実行してください。

randor · Answer

単なる理論：

動的または共有IPアドレスを持っている場合は、以前にIPアドレスを持っていた誰かがインターネット接続を悪用して自動検索を行っていた可能性があります。

例：

多くの顧客を同じNAT ip-addressの後ろに置いたいくつかのモバイルインターネットプロバイダー（3g、4g）を知っています。1人の誤動作している人は、同じを共有している他のすべてのユーザーのために物事を台無しにするのに十分です外部IPアドレス。
通常のDSLプロバイダーは、動的IPアドレスを提供することがよくあります。上記のように、「ダーティ」IPアドレスになる可能性があります。

Garith Dugmore · Answer

「foxmenot」と呼ばれるFirefoxのプラグインを使用して、6秒ごとに大量のデータをGoogleに送信するユーザーがいました。これを無効にするか、接続の頻度を減らすと、問題が解決しました。

最初にユーザーを追跡するために、さまざまな外部IPを介して各内部サブネットにNATを適用しました。誰かが再びエラーを報告した後、問題を報告した人を、新しい外部NATされたIPを持つ内部ソースIPの追加の隔離グループに移動しました。ユーザーが1人になるまで、このグループにユーザーを追加/削除し続けました。 100人以上のユーザーがおり、このプロセスには2〜3日かかりました。

これが誰かのお役に立てば幸いです。

mlvljr · Answer

技術的な問題をすばやく（手動で）グーグル検索して、1〜2秒（リンクをたどらずに）検索結果のみを探すときに、私は時々これにぶつかります。

これは、現在使用しているOS（WindowsまたはLinux）に関係なく発生し、私の背後に他のマシンがない場合NAT（しばらくの間の動的IP変更なし））。

マルウェア、ブラウザプラグイン、スクレイピングソフトウェアはインストールされていません。

そして、はい、私はロシアにいます:)

したがって、まもなく、GoogleはE.ヨーロッパ向けにボットフィルターを強化しているようです。高速で入力（および読み取り）するだけで、一時的に禁止される可能性があります:)

theCowardlyFrench · Answer

プロキシ経由でWebトラフィックをトンネリングしても同じ問題が発生します。なぜだかわかりません。しかし、私が使用しているこれらのプロキシは、私のほとんどがそうであるように、一般に公開されていると思います。

この場合、何百人ものユーザーが同じプロキシサーバーを介してほぼ同時にリクエストを送信する可能性があります。大規模なオフィスやビジネスはおそらくこのトラフィックに対応できるため、これだけが理由だとは言いがたいです。これが当てはまらない場合でも、別のユーザーの悪意のあるアクションについて手首で平手打ちされます。

プロキシサーバーに精通している場合は、Googleが知っている唯一のIPアドレスはプロキシサーバーのIPアドレスであることがわかります。各クライアントのIPアドレスはプロキシサーバーによって認識されますが、Googleでは認識されません。このようにして、Googleから送信されたトラフィックはプロキシサーバーからクライアントに転送され、匿名性のわずかな手段を実現できます。このため、Googleは個々のクライアントではなく、プロキシサーバーのみを懲戒することができます。

また、他の一部のユーザーが、トラフィックがコンピューターから発信されている可能性があると述べていることを確認しました。これはhighlyありそうもない。これは、プロキシ経由でGoogleにアクセスしていないときにこれらの警告に遭遇しないという事実によって証明されています。

munchkin · Answer

これが発生する理由は、サイトのページランキングを決定するために使用されるアルゴリズムが原因です。 NATベースの状況の場合のように、多くのGoogleベースのトラッキングCookieが1つのIPアドレスから送信されているように見える場合、検索を1人のユーザーに関連付けることが難しくなります。おそらく、ランダムにシーケンスを生成してコレクションの意図的な汚染を試みて、何らかの衝突を検出しようとしている可能性があります。そのため、この異常なトラフィックページが生成されます。また、それらはおそらくいくつかのメトリックを使用して、その1つのIPアドレスがそのリストに含まれることを意図しているかどうかを判断します。したがって、自動検索、大量のボットクリックなどにより、しきい値に達するまでレベルが上がります。範囲全体をシンクホールディングすると、大規模なグループの人々がコンテンツにアクセスできなくなる可能性があるため、これはかなりトリッキーな状況です。