[agach]

Добрый день!

Поделитесь кому не жалко сигнатурами для отлова флудеров, от которых защищаются поисковые системы с помощью всевозможных капчей. для клиентов за натом стало послденее время актуальна эта тема.

[pppoetest]

Там вроде как кол-во запросов с IP, хотя и не уверен.

[guruks]

Побывал с ограничением конектов не работает, тут проблема в том , что важно не кол-за запросов, а их одинаковость, видать какой то вирус генерирует одинаковые запросы, или как в моём случае пользователь использовал программы для сканирования гугло поиска.

[Butch3r]

У нас была в локальной сети такая беда, задолбались искать....Это вирус

[dignity]

Crawlerы

[SOFTOLAB]

Вовсе не обязательно вирус, это может быть тот же плагин для Sape что бы проверять индексирование ссылок, если таймаут запросов маленький, то IP уходит на проверку капчей и кто то явно не хочет юзать анти капчу, или руки/мозг кривые и не понимают что делают.

Да и для других нужд тоже часто выдача ПС сканируется.

Искать действительно сложно, но найдя можно жестоко наказать =)

Изменено 25 февраля, 2014 пользователем SOFTOLAB

[pppoetest]

Вобщем кто найдет решение, просьба отписаться, актуально.

[SOFTOLAB]

pppoetest, решение => мониторить трафик к ПС и через чур активных детально проверять, а при обнаружении "жёсткая порка" ремнём.

Ещё как вариант просто забить на это и пускай остальные юзеры выступают в роли китайцев с антикапчи, постоянно вбивая капчу.

[agach]

нормально решение - только DPI ?

[dignity]

нормально решение - только DPI ?

ПФФ. Тут вариантов много, например, зловред может и https использовать.

Как вариант, заверните прозрачно http трафик на linux + squid/tproxy и поглядите логи (статистический анализ), найдете засранцев.

Как другой вариант отзеркалить трафик и поглядеть по Netflow/sflow на IP google. Кто долбит много.

[AKim]

У нас тоже такая проблема, как у ТС.

 

Первое на что подумал - это слишком много людей за натом на одном IP.

 

Второе - кто-то спамит чем-то.

 

Пока что отловил весь подозрительный трафик на 25 порт (таких оказалось 6) и этим людя заблокировал его.

 

Третий день -капчи нет.

 

Скорее всего просто сложение обстоятельств. Посмотрю дальше как будет.

[st_re]

2 AKim. 25 порт почистить это конечно здорово и правильно, но к капче у гугла скорее всего отношения не имеет. Это с вероятностью 90% у когото стоит поисковый бот и долбит запросы.. Бот может быть как вирусного происхождения так и есть плагины, которые горе раскручивальщики пытаются со своих машин запускать и ставят там невменяемые параметры по количеству запросов (типа, доктор, дайте мне таблеток от жадности, да ПОБОЛЬШЕ! ПОБОЛЬШЕ! не понимая, что если долбить часто то просто забанят, и хрен он че накрутит.).

 

Плохо, что гугль не пишет на абузу, а тупо вешает капчу (кстати если капчу вводить часто и параллельно с того же IP (ну там через нат, к примеру от другого абонента) ходит бот, то капча перестает появляться и пишет что просто заблочено.) и нет никакой возможности понять что именно им не понравилось.

[pppoetest]

Самое интересное, я пытался найти кого нить из саппорта гугла, чтобы пообщаться с технарями на эту тему. После недельного, извините за тавтологию, гуглежа, нашел ссылку на ЖЖ в камментах страницы хабры, чела, который якобы работал в саппорте гугла, найдя его мыло, попытался связатся, безрезультатно. В общем, кто смогет найти саппорт, связатся с ним и получить их спамрулзы, тому 10 баксов.

[st_re]

Сапорт гугла вы получите став их клиентом.. за оплаченные услги. (и там он тоже зачастую весьма отдельно от услуг платный). Это (поиск) вы кажется же не оплачиваете ? Какого сапорта вы хотите? Решения проблемы нужно же вам ? Значит вам и искать бота долбящегося в гугл.

 

зы увеличить размер NAT пула это верный шаг. Так вы снизите количество пострадавших от бота и упростите его поиск себе. Я у себя находил. если капчу вешают на поиске то долбят скорее всего туда. Ищите массовый трафик в сторону поисковых серверов гугла. Скорее сего там их, запросов, реально много на остальном фоне.

[pppoetest]

Спасибо.

[agach]

кстати капчи выходили и на яндексе, надо будет туды в суппорт написать , возможно чтонибудь ответят.

[heap]

Кому-то удалось найти эффективный способ вычисления виновников?