发现 Google 异常流量

发现 Google 异常流量

我们是一家小型互联网提供商。为了获得互联网访问权限,我们使用 NAT(每个公共 IP 可容纳 10-20 个用户)。最近,我们遇到了 Google 屏蔽服务(验证码和全面屏蔽),我们无法为用户找到合适的解决方案。不幸的是,我们找不到 Google 的任何官方建议和说明,解释 ISP 管理员如何解决该问题。我们所能找到的只是屏蔽的可能原因以及客户可能使用的方法。但我们希望有机会在全球范围内解决这个问题,让客户免于独自处理这个问题的麻烦。

第一个想法是捕获目标 IP 为 google.com(以及您的本地 Google 域)的用户的数据包。如果用户 PC 上的某些东西正在向 Google 发送大量数据,那么它们会生成许多数据包。

例子:

# Find google.com IP
$ host google.com
google.com has address 216.58.209.206
# local google.com.ua has ip in the same network 216.58.209.0/24

# Capture 50k packets with google IP dst
$ sudo tcpdump -i eth0 -nn dst net 216.58.209.0/24 -c 50000 > /tmp/dump.txt
# Parse dump file and find top 10 users
$ cat /tmp/dump.txt | awk '{print $3}' | awk -F '.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -r -n | head

    528 172.30.138.128
    473 172.30.137.173
    382 172.30.138.117
    334 172.30.138.34
    312 172.30.137.211
    227 172.30.136.50
    204 172.30.138.220
    192 172.30.139.34
    170 172.30.137.217
    154 172.30.138.96

但这种方法并不奏效。它给出的结果很随机,看起来像是普通用户的工作。我在论坛上发现信息称,Google 系统有一个很难的异常流量检测算法,该算法基于您在 Google 上搜索的内容。

也许有人已经解决了这个问题?或者您知道如何解决?如何才能在我的 Linux 网关上找到流向 Google 的异常流量?

答案1

根据个人经验,这是一个有关来自单个 IP 的请求过多(合法或非法)的问题。tor
出口节点也会发生这种情况。
使用单一地址(我知道不太可能),或者更好的方法是开始提供适当的 IPv6 连接,合法用户的问题就会消失。

相关内容