但是有两次，返回了这个:

HTTP/1.1 200 OK

Content-type: text/html

〈html〉

〈meta http-equiv=’Pragma’ content=’no-cache’〉

〈meta http-equiv=’Refresh’ content=’0;URL=?curtime=1091231851’〉

〈script〉

window.open(’http://211.147.5.121/DXT06-005.htm’, ’’, ’width=400,height=330’);

〈/script〉

〈head〉

〈title〉〈/title〉

〈/head〉

〈body〉

〈/body〉

〈/html〉

更进一步分析数据包,可知劫持流程如下：

A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个设备按照某种规律，对于某些HTTP请求进行特殊处理。

B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。这个过程是非常快的。我们的 HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。

D、浏览器会根据〈meta http-equiv=’Refresh’ content=’0;URL=?curtime=1091231851’〉这一行，重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.open函数打开广告窗口。

在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索，出现的基本上是国内网站，这表明，问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。