第九、结论
这台www.smallqqy.com的服务器是在昆明。而且是在昆明电信主干网络中。
经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关。对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统被安装了adware或者spyware。
那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了HTTP会话
通过相关网络资料的查阅得知
分析数据包,可知劫持流程如下:
A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个设备按照某种规律,对于某些HTTP请求进行特殊处理。
B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端。这个过程是非常快的,我们的HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。
C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受。
D、浏览器会根据<script LangUage=''JavaScript''>try{var tmp=parent.window.href}catch(e){window.reload();}</script>
这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.reload函数打开广告窗口。
绝不只是广告那么简单,今天是广告,明天就可能在你看门户网站的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里。
...........................
同意楼主的科学分析!我在成都,这两天也被非法劫持了,跟过去的“雪花啤酒”事件不一样的是,这次每开一个网页就不请自来一个广告,而且还是一个广告群(每次可以弹出不一样的窗口)...正郁闷中,等待这里的高手们指点该怎么办?!