【分享】关于浏览器(IE)【下端被新浪广告劫持】分析说明 bbs.ikaka.com

rockand - 2006-5-28 22:55:00

个人测试的电脑共有四台操作系统均为Windows XP Pro SP2 IE6.0

如果只想了解为什么会出现这个问题。请直接到这贴的后面。第九结论

以下是对浏览器(IE)下端被新浪广告劫持测试的过程

测试地点
昆明北郊51区电信ADSL 2006年5月27日下午3：00
昆明东郊38区电信ADSL 2006年5月27日下午21：00
昆明南郊41区电信ADSL 2006年5月28日上午11：00
昆明东郊33区中国网通 2006年5月28日下午5：00

接入网络分别通过电信网通

第一、浏览器(IE)下端被新浪广告劫持发现时间
2006年5月27日下午2：00 左右

第二、发现地点
昆明市北市51区通过电信ADSL接入网络

第三、被却持后电脑情况
一开始没有注意。以为是朋友的电脑里面是不是中了流氓软件什么的。当时打开www.mydrivers.com 〔驱动之家〕网站时发现。还以为是驱动之家做的广告。

第四、发现情况 2006年5月27日下午3：00 左右
当我把我的个人笔记本电脑接入朋友网络时。以默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时发现就连MSN出现了这样的广告。我以为是什么新毒让我的笔记本电脑中毒了。但我用kaka助手、端星、McAfee、WindowsDefender等专业查杀软件没有任何问题。这时我开始怀疑......

第五、确定本人电脑无问题 2006年5月27日下午21：00 －－ 23：30
当我回到家后，打开我个人台式电脑。接入电信东郊38区ADSL网络。打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持....这是我开始对我的系统不放心了。而且我还打了一个电话给了我一个开网吧的朋友。他说还没发现这个问题。之后试着打开其它中国门户网站.....还是会出现浏览器(IE)下端被新浪广告劫持。概率测算了一下在5％左右。不放心的我开始用以前系统GHOST文件开始恢复系统，这个时间已经是23：10了，我用了6分种将系统恢复。进入系统第一个打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持。

第六、重新安装全新操作系统 2006年5月28日上午0：00 －－上午1：00
这时对电脑进全面的清理。最终找来一个80G的硬盘用DM格式化后。开始安装全新系统

第七、问题依然出现
当我安装好系统后。让我最难过的是我打开网页后浏览器(IE)下端被新浪广告劫持依然存在。

第八、开始分析 2006年5月28日上午1：00 －－上午4：00
最先我看了一下浏览器(IE)下端被新浪广告劫持时的网页源码发现网页代码已经被替换内容如下：

<html> <meta http-equiv='Pragma' content='no-cache'> <head> <title></title> <script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script> </head> <frameset framespacing=0 border=0 rows='*,0' frameborder=0 onload="window.lxmainframe.location='http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"> <frame name='lxmainframe' src='about:blank' scrolling='auto'> <frame name='lxblankframe' src='about:blank' scrolling='no'> </frameset> </body></html>

这时进行网络跟踪 Netstat 结果如下:

Active Connections

Proto Local Address Foreign Address State
TCP computer:1724 67.29.176.254:http ESTABLISHED
TCP computer:1732 207.46.198.30:http ESTABLISHED
TCP computer:1734 218.30.66.8:http ESTABLISHED
TCP computer:1735 test1.cn.msn.com:http ESTABLISHED
TCP computer:1736 218.30.66.8:http ESTABLISHED
TCP computer:1737 218.30.66.8:http ESTABLISHED
TCP computer:1738 218.30.66.8:http ESTABLISHED
TCP computer:1743 218.30.66.8:http ESTABLISHED
TCP computer:1744 218.30.66.8:http ESTABLISHED

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

对IP:218.30.66.8 进行查询 (这个IP有问题)
查询结果1：陕西省西安市电信IDC
查询结果2：北京市电信机房

IP:207.46.198.30 这是系统自动升级系统使用的IP地址
查询结果1：美国 North America United States
查询结果2：美国 Microsoft公司

IP:67.29.176.254
查询结果1：美国 North America United States
查询结果2：美国科罗拉多州

经过对源代码中http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url='+window.location;"进行分析
可知。这个新浪的广告是真正从Sina网发出的。

再对网页中新浪广告分析。其中任意一条都是以http://www.smallqqy.com/sina_2006/sina_2006.html?http://2006.sina.com.cn/******** 进行调用

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/sina_2006.html? IE会进行无限循环跳转

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/ 时可以看到广告的源代码以目录方式出现

当在IE地址栏中输入 http://www.smallqqy.com/down_sohu3.html 是色情广告

对www.smallqqy.com进行查询如下内容

www.smallqqy.com >> 61.138.197.220 （这是广告发行者）
查询结果1：云南省昆明市电信
查询结果2：云南省昆明市电信

通过对信息产业部TCP/IP查询得知
www.smallqqy.com 未备案也没有在黑名单中

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
通过中国互联网中心(www cnnic.net.cn)进行查询
CNNIC IP WHOIS数据库

地址段范围: 61.138.192.0 - 61.138.223.255
网络名: CHINANET-YN
单位描述: CHINANET Yunnan province network
单位描述: Data Communication Division
单位描述: China Telecom
国家: CN
管理联系人: CH93-AP
技术联系人: ZL48-AP
维护方帐号: MAINT-CHINANET
次级维护者: MAINT-CHINANET-YN
地址段状态: ASSIGNED NON-PORTABLE
更改记录: hostmaster@ns.chinanet.cn.net 20000601
更改记录: hm-changed@apnic.net 20040927
数据来源: APNIC

联系人: Chinanet Hostmaster
联系人帐号: CH93-AP
电子邮件: anti-spam@ns.chinanet.cn.net
通信地址: No.31 ,jingrong street,beijing
通信地址: 100032
电话: +86-10-58501724
传真: +86-10-58501724
国家: CN
更改记录: lqing@chinatelecom.com.cn 20051212
维护方帐号: MAINT-CHINANET
数据来源: APNIC

联系人: zhiyong liu
联系人帐号: ZL48-AP
电子邮件: hpnut@mail.yn.cninfo.net
通信地址: 136 beijin roadkunmingchina
电话: +86-871-3360605
传真: +86-871-3360614
国家: CN
更改记录: hpnut@mail.yn.cninfo.net 20040426
维护方帐号: MAINT-CHINANET-YN
数据来源: APNIC

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

对 www.smallqqy.com 域名进行查询

Domain Name: SMALLQQY.COM
Registrar: HICHINA WEB SOLUTIONS (HONG KONG) LIMITED
Whois Server: grs.hichina.com
Referral URL: http://whois.hichina.com
Name Server: DNS.IHW.COM.CN
Name Server: DNS1.IHW.COM.CN
Status: ACTIVE
Updated Date: 28-mar-2006
Creation Date: 28-mar-2006
Expiration Date: 28-mar-2007
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name ..................... smallqqy.com
Name Server ..................... dns.ihw.com.cn
dns1.ihw.com.cn
Registrant ID ................... hc194345924-cn
Registrant Name ................. Keh Keivn
Registrant Organization ......... Beijing Unismedia Technology Co.
Registrant Address .............. No.40, Fuwai St
Registrant City ................. beijingshi
Registrant Province/State ....... beijing
Registrant Postal Code .......... 100037
Registrant Country Code ......... CN
Registrant Phone Number ......... +86.1065581565 -
Registrant Fax .................. +86.1065581567 -
Registrant Email ................ domainreg@help.com.cn
Administrative ID ............... hc194345924-cn
Administrative Name ............. Keh Keivn
Administrative Organization ..... Beijing Unismedia Technology Co.
Administrative Address .......... No.40, Fuwai St
Administrative City ............. beijingshi
Administrative Province/State ... beijing
Administrative Postal Code ...... 100037
Administrative Country Code ..... CN
Administrative Phone Number ..... +86.1065581565 -
Administrative Fax .............. +86.1065581567 -
Administrative Email ............ domainreg@help.com.cn
Billing ID ...................... hichina001-cn
Billing Name .................... hichina
Billing Organization ............ HiChina Web Solutions Limited
Billing Address ................. 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Billing City .................... Beijing
Billing Province/State .......... Beijing
Billing Postal Code ............. 100011
Billing Country Code ............ CN
Billing Phone Number ............ +86.01064242299 -
Billing Fax ..................... +86.01064258796 -
Billing Email ................... domainadm@hichina.com
Technical ID .................... hichina001-cn
Technical Name .................. hichina
Technical Organization .......... HiChina Web Solutions Limited
Technical Address ............... 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Technical City .................. Beijing
Technical Province/State ........ Beijing
Technical Postal Code ........... 100011
Technical Country Code .......... CN
Technical Phone Number .......... +86.01064242299 -
Technical Fax ................... +86.01064258796 -
Technical Email ................. domainadm@hichina.com
Expiration Date ................. 2007-03-28 02:11:26

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

第九、结论

这台www.smallqqy.com的服务器是在昆明。而且是在昆明电信主干网络中。

经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行的http客户端），与使用何种操作系统也无关。对出现该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统被安装了adware或者spyware。

那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，劫持了HTTP会话

通过相关网络资料的查阅得知

分析数据包，可知劫持流程如下：
A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个设备按照某种规律，对于某些HTTP请求进行特殊处理。

B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。这个过程是非常快的，我们的HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。

D、浏览器会根据<script LangUage='JavaScript'>try{var tmp=parent.window.location.href}catch(e){window.location.reload();}</script>
这一行，重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.location.reload函数打开广告窗口。

绝不只是广告那么简单，今天是广告，明天就可能在你看门户网站的时候给你加个adware或者加个病毒进去，谁知道呢？我们的HTTP通信完全控制在别人手里。

附件: 6720172006528225545.gif

文物2 - 2006-5-31 9:03:00

标题: 谁控制了我们的浏览器

作者: 2f4f587a80c2dbbd870a46481b2b1882
日期: 2004-07-20

0、版权

本文遵从GPL协议，欢迎转载。

1、现象是什么？

大约从今年年初开始，很多人就发现，在浏览一些网站的时候，地址栏的url后面会被
莫名其妙地加上“?curtime=xxxxxxxxxx”（x为数字），并且弹出广告窗口。很多人
以为这是网站自己弹出的广告，也就没有在意。

我是属于很在意的那些人之一。

2、这是怎么回事？

经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行
的http客户端），与使用何种操作系统也无关（linux用户也有相关报告）。我对出现
该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统
被安装了adware或者spyware。

那么是不是那些网站自己做的呢？后来发现，访问我们自己管理的网站时也出现了这
种情况，排除了这个可能。

那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，
劫持了我们的HTTP会话——我实在是不愿相信这个答案，这个无耻、龌龊的答案。

伟大的谢洛克·福尔摩斯说过：当其他可能都被排除之后，剩下的，即使再怎么不可
思议，也一定是答案。

为了验证这个想法，我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直
接访问这个IP的HTTP服务，正常情况下是没有页面的，应该返回404错误。我写了一个
脚本，不断访问这个IP，同时记录进出的数据包。在访问进行了120次的时候，结束请
求，查看数据。120次请求中，118次返回的都是正常的404错误：

HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
Connection: close
Content-Type: text/html
Content-Length: 111

<html><head><title>Site Not Found</title></head>
<body>No web site is configured at this address.</body></html>

但是有两次，返回了这个：

HTTP/1.1 200 OK
Content-type: text/html

<html>
<meta http-equiv='Pragma' content='no-cache'>
<meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'>
<script>
window.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
</script>
<head>
<title></title>
</head>
<body>
</body>
</html>

更进一步分析数据包，可知劫持流程如下：

A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个
设备按照某种规律，对于某些HTTP请求进行特殊处理。

B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数
据作为回应包，发送给客户端。这个过程是非常快的，我们的HTTP请求发出之后，仅
过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内
做出回应。

C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，
会被当作错误的报文而不被接受。

D、浏览器会根据<meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'>
这一行，重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用
window.open函数打开广告窗口。

在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索，
出现的基本上是国内网站，这表明，问题出在国内。用于inject的设备插在国内的某
个或某几个大节点上。

真相大白。我们被愚弄了，全中国的网民都成了某些人的赚钱工具。

3、现在怎么办？

在坏家伙被捉出来之前，我们要想不受这个玩意的骚扰，可以考虑下面的方法：

A、请各单位的网络管理员，在网络的边界设备上，完全封锁211.147.5.121。
B、在你自己的个人防火墙上，完全封锁211.147.5.121。
C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE，可以把
“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。

绝不只是广告那么简单，这涉及到我们的选择，我们的自由，这比垃圾邮件更加肮脏
和无耻。今天是广告，明天就可能在你下载软件的时候给你加个adware或者加个病毒
进去，谁知道呢？我们的HTTP通信完全控制在别人手里。

4、如何把坏家伙揪出来？

如果你是一个有权力调查和处理这件事的人，从技术上，可以考虑下面的手段：

方法1、

伪造的回应数据中并没有处理TTL，也就是说，我们得到的回应数据中TTL是和inject
设备位置相关的。以我收到的数据包为例，真实的服务器端回应TTL是107，伪造的回
应TTL是53。那么，从我们这里到被请求的服务器之间经过了21（128-107）个节点，
从我们这里到inject设备经过了11（64-53）个节点。只需要traceroute一下请求的服
务器，得到路由回溯，往外数第11个节点就是安插inject设备的地方！

方法2：

假如坏家伙也看到了这篇文章，修改了TTL，我们仍然有办法。在google上以下面这些
关键字搜索：
php?curtime
htm?curtime
asp?curtime
可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址，验证从你的ip
访问过去是否会被inject。将确实会被inject的结果搜集起来，在不同的网络接入点
上挨个用traceroute工具进行路由回溯。分析回溯的结果。

上面我们已经说明了，坏家伙是在某个或者某些重要节点上安插了inject设备，那么
这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、
D四个被inject到的网站，从四个地方进行路由回溯的结果如下：

MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D

显然，inject设备极大可能就在“89”所在的机房。

方法3：

另一方面，可以从存放广告业面的211.147.5.121这个IP入手，whois查询结果如下：

inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: hui_zh@sina.com 20011112
status: ALLOCATED PORTABLE
source: APNIC

person: Pang Patrick
nic-hdl: PP40-AP
e-mail: bill.pang@bj.datadragon.net
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed: ipas@cnnic.net.cn 20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: dsl327@btamail.net.cn
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: dsl327@btamail.net.cn 20020403
source: APNIC

5、我为什么要写这篇文章？

新浪为我提供桃色新闻，我顺便看看新浪的广告，这是天经地义的；或者我安装某某
网站的广告条，某某网站付给我钱，这也是天经地义的。可是这个211.147.5.121既不
给我提供桃色新闻，又不给钱，却强迫我看广告，这就严重伤害了我脆弱而幼小的心
灵。事实上，你可以敲诈克林斯·潘，强奸克里奥·佩德拉，咬死王阳明，挖成吉思
汗墓，我都不会计较，但是现在你既然打搅了我的生活，我就不得不说几句了。

6、我是谁？

如果你知道MyName，又知道MyCount的话，那么，用下面这段perl可以得到：
2f4f587a80c2dbbd870a46481b2b1882。

#!/usr/bin/perl -w

use Digest::MD5 qw(md5 md5_hex md5_base64);

$name = 'MyName';
$count = MyCount;

for ($i=0; $i<$count; $i++)
{
$name = md5_hex($name);
}

print $name;

以下签名，用于以后可能出现的关于此文的交流：

1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66

nic414 - 2006-6-3 5:20:00

我********昆明电信，怪不得这几天一天到晚弹！

阿君 - 2006-6-5 16:58:00

信息产业部电信用户申诉受理中心主要受理电信用户在使用电信业务、接受电信服务过程中与电信业务提供者发生争议而向政府主管部门提起的申诉。
http://www.chinatcc.gov.cn/shenshshl.htm

hellokiddy - 2006-6-5 22:19:00

不错,好贴,学习了...

hellokiddy - 2006-6-5 22:28:00

test?

有情人终成眷属 - 2006-6-6 11:04:00

支持一下

海生 - 2006-6-8 10:35:00

的确是好帖子,花了时间和精力了,应该奖励

BAGGIO·18 - 2006-6-9 9:31:00

shen1 - 2006-6-11 10:53:00

引用:

【rockand的贴子】个人测试的电脑共有四台操作系统均为Windows XP Pro SP2 IE6.0

如果只想了解为什么会出现这个问题。请直接到这贴的后面。第九结论

以下是对浏览器(IE)下端被新浪广告劫持测试的过程

测试地点
昆明北郊51区电信ADSL 2006年5月27日下午3：00
昆明东郊38区电信ADSL 2006年5月27日下午21：00
昆明南郊41区电信ADSL 2006年5月28日上午11：00
昆明东郊33区中国网通 2006年5月28日下午5：00

接入网络分别通过电信网通

第一、浏览器(IE)下端被新浪广告劫持发现时间
2006年5月27日下午2：00 左右

第二、发现地点
昆明市北市51区通过电信ADSL接入网络

第三、被却持后电脑情况
一开始没有注意。以为是朋友的电脑里面是不是中了流氓软件什么的。当时打开www.mydrivers.com 〔驱动之家〕网站时发现。还以为是驱动之家做的广告。

第四、发现情况 2006年5月27日下午3：00 左右
当我把我的个人笔记本电脑接入朋友网络时。以默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时发现就连MSN出现了这样的广告。我以为是什么新毒让我的笔记本电脑中毒了。但我用kaka助手、端星、McAfee、WindowsDefender等专业查杀软件没有任何问题。这时我开始怀疑......

第五、确定本人电脑无问题 2006年5月27日下午21：00 －－ 23：30
当我回到家后，打开我个人台式电脑。接入电信东郊38区ADSL网络。打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持....这是我开始对我的系统不放心了。而且我还打了一个电话给了我一个开网吧的朋友。他说还没发现这个问题。之后试着打开其它中国门户网站.....还是会出现浏览器(IE)下端被新浪广告劫持。概率测算了一下在5％左右。不放心的我开始用以前系统GHOST文件开始恢复系统，这个时间已经是23：10了，我用了6分种将系统恢复。进入系统第一个打开默认网页 http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 打开后自动跳转到 www.msn.com.cn 时同样出现了浏览器(IE)下端被新浪广告劫持。

第六、重新安装全新操作系统 2006年5月28日上午0：00 －－上午1：00
这时对电脑进全面的清理。最终找来一个80G的硬盘用DM格式化后。开始安装全新系统

第七、问题依然出现
当我安装好系统后。让我最难过的是我打开网页后浏览器(IE)下端被新浪广告劫持依然存在。

第八、开始分析 2006年5月28日上午1：00 －－上午4：00
最先我看了一下浏览器(IE)下端被新浪广告劫持时的网页源码发现网页代码已经被替换内容如下：

<html> <meta http-equiv=''Pragma'' content=''no-cache''> <head> <title></title> <script LangUage=''JavaScript''>try{var tmp=parent.window.href}catch(e){window.reload();}</script> </head> <frameset framespacing=0 border=0 rows=''*,0'' frameborder=0 ="window.lxmainframe.''http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url=''+window."> <frame name=''lxmainframe'' src=''blank'' scrolling=''auto''> <frame name=''lxblankframe'' src=''blank'' scrolling=''no''> </frameset> </body></html>

这时进行网络跟踪 Netstat 结果如下:

Active Connections

Proto Local Address Foreign Address State
TCP computer:1724 67.29.176.254:http ESTABLISHED
TCP computer:1732 207.46.198.30:http ESTABLISHED
TCP computer:1734 218.30.66.8:http ESTABLISHED
TCP computer:1735 test1.cn.msn.com:http ESTABLISHED
TCP computer:1736 218.30.66.8:http ESTABLISHED
TCP computer:1737 218.30.66.8:http ESTABLISHED
TCP computer:1738 218.30.66.8:http ESTABLISHED
TCP computer:1743 218.30.66.8:http ESTABLISHED
TCP computer:1744 218.30.66.8:http ESTABLISHED

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

对IP:218.30.66.8 进行查询 (这个IP有问题)
查询结果1：陕西省西安市电信IDC
查询结果2：北京市电信机房

IP:207.46.198.30 这是系统自动升级系统使用的IP地址
查询结果1：美国 North America United States
查询结果2：美国 Microsoft公司

IP:67.29.176.254
查询结果1：美国 North America United States
查询结果2：美国科罗拉多州

经过对源代码中http://ad4.sina.com.cn/sina/ziguang/yunnan/frame.html?url=''+window."进行分析
可知。这个新浪的广告是真正从Sina网发出的。

再对网页中新浪广告分析。其中任意一条都是以http://www.smallqqy.com/sina_2006/sina_2006.html?http://2006.sina.com.cn/******** 进行调用

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/sina_2006.html? IE会进行无限循环跳转

当在IE地址栏中输入 http://www.smallqqy.com/sina_2006/ 时可以看到广告的源代码以目录方式出现

当在IE地址栏中输入 http://www.smallqqy.com/down_sohu3.html 是色情广告

对www.smallqqy.com进行查询如下内容

www.smallqqy.com >> 61.138.197.220 （这是广告发行者）
查询结果1：云南省昆明市电信
查询结果2：云南省昆明市电信

通过对信息产业部TCP/IP查询得知
www.smallqqy.com 未备案也没有在黑名单中

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
通过中国互联网中心(www cnnic.net.cn)进行查询
CNNIC IP WHOIS数据库

地址段范围: 61.138.192.0 - 61.138.223.255
网络名: CHINANET-YN
单位描述: CHINANET Yunnan province network
单位描述: Data Communication Division
单位描述: China Telecom
国家: CN
管理联系人: CH93-AP
技术联系人: ZL48-AP
维护方帐号: MAINT-CHINANET
次级维护者: MAINT-CHINANET-YN
地址段状态: ASSIGNED NON-PORTABLE
更改记录: hostmaster@ns.chinanet.cn.net 20000601
更改记录: hm-changed@apnic.net 20040927
数据来源: APNIC

联系人: Chinanet Hostmaster
联系人帐号: CH93-AP
电子邮件: anti-spam@ns.chinanet.cn.net
通信地址: No.31 ,jingrong street,beijing
通信地址: 100032
电话: +86-10-58501724
传真: +86-10-58501724
国家: CN
更改记录: lqing@chinatelecom.com.cn 20051212
维护方帐号: MAINT-CHINANET
数据来源: APNIC

联系人: zhiyong liu
联系人帐号: ZL48-AP
电子邮件: hpnut@mail.yn.cninfo.net
通信地址: 136 beijin roadkunmingchina
电话: +86-871-3360605
传真: +86-871-3360614
国家: CN
更改记录: hpnut@mail.yn.cninfo.net 20040426
维护方帐号: MAINT-CHINANET-YN
数据来源: APNIC

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

对 www.smallqqy.com 域名进行查询

Domain Name: SMALLQQY.COM
Registrar: HICHINA WEB SOLUTIONS (HONG KONG) LIMITED
Whois Server: grs.hichina.com
Referral URL: http://whois.hichina.com
Name Server: DNS.IHW.COM.CN
Name Server: DNS1.IHW.COM.CN
Status: ACTIVE
Updated Date: 28-mar-2006
Creation Date: 28-mar-2006
Expiration Date: 28-mar-2007
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name ..................... smallqqy.com
Name Server ..................... dns.ihw.com.cn
dns1.ihw.com.cn
Registrant ID ................... hc194345924-cn
Registrant Name ................. Keh Keivn
Registrant Organization ......... Beijing Unismedia Technology Co.
Registrant Address .............. No.40, Fuwai St
Registrant City ................. beijingshi
Registrant Province/State ....... beijing
Registrant Postal Code .......... 100037
Registrant Country Code ......... CN
Registrant Phone Number ......... +86.1065581565 -
Registrant Fax .................. +86.1065581567 -
Registrant Email ................ domainreg@help.com.cn
Administrative ID ............... hc194345924-cn
Administrative Name ............. Keh Keivn
Administrative Organization ..... Beijing Unismedia Technology Co.
Administrative Address .......... No.40, Fuwai St
Administrative City ............. beijingshi
Administrative Province/State ... beijing
Administrative Postal Code ...... 100037
Administrative Country Code ..... CN
Administrative Phone Number ..... +86.1065581565 -
Administrative Fax .............. +86.1065581567 -
Administrative Email ............ domainreg@help.com.cn
Billing ID ...................... hichina001-cn
Billing Name .................... hichina
Billing Organization ............ HiChina Web Solutions Limited
Billing Address ................. 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Billing City .................... Beijing
Billing Province/State .......... Beijing
Billing Postal Code ............. 100011
Billing Country Code ............ CN
Billing Phone Number ............ +86.01064242299 -
Billing Fax ..................... +86.01064258796 -
Billing Email ................... domainadm@hichina.com
Technical ID .................... hichina001-cn
Technical Name .................. hichina
Technical Organization .......... HiChina Web Solutions Limited
Technical Address ............... 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Technical City .................. Beijing
Technical Province/State ........ Beijing
Technical Postal Code ........... 100011
Technical Country Code .......... CN
Technical Phone Number .......... +86.01064242299 -
Technical Fax ................... +86.01064258796 -
Technical Email ................. domainadm@hichina.com
Expiration Date ................. 2007-03-28 02:11:26

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

第九、结论

这台www.smallqqy.com的服务器是在昆明。而且是在昆明电信主干网络中。

经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行的http客户端），与使用何种操作系统也无关。对出现该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统被安装了adware或者spyware。

那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，劫持了HTTP会话

通过相关网络资料的查阅得知

分析数据包，可知劫持流程如下：
A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个设备按照某种规律，对于某些HTTP请求进行特殊处理。

B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。这个过程是非常快的，我们的HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。

D、浏览器会根据<script LangUage=''JavaScript''>try{var tmp=parent.window.href}catch(e){window.reload();}</script>
这一行，重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.reload函数打开广告窗口。

绝不只是广告那么简单，今天是广告，明天就可能在你看门户网站的时候给你加个adware或者加个病毒进去，谁知道呢？我们的HTTP通信完全控制在别人手里。

...........................

没过!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!