真相大白。我们被愚弄了，全中国的网民都成了某些人的赚钱工具。3、现在怎么办?

在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰，可以考虑下面的方法：

A、请各单位的网络管理员，在网络的边界设备上，完全封锁211.147.5.121。

B、在你自己的个人防火墙上,完全封锁211.147.5.121。

C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE，可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。

绝不只是广告那么简单，这涉及到我们的选择，我们的自由，这比垃圾邮件更加肮脏和无耻。今天是广告，明天就可能在你下载软件的时候给你加个adware或者加个病毒进去，谁知道呢？我们的HTTP通信完全控制在别人手里。

4、如何把坏家伙揪出来？

如果你是一个有权力调查和处理这件事的人，从技术上，可以考虑下面的手段:

方法1：

伪造的回应数据中并没有处理TTL，也就是说,我们得到的回应数据中TTL是和inject设备位置相关的。以我收到的数据包为例，真实的服务器端回应 TTL是107，伪造的回应TTL是53。那么，从我们这里到被请求的服务器之间经过了21(128-107)个节点，从我们这里到inject设备经过了11(64-53)个节点。只需要traceroute一下请求的服务器，得到路由回溯，往外数第11个节点就是安插inject设备的地方！

方法2:

假如坏家伙也看到了这篇文章，修改了TTL，我们仍然有办法。在google上以下面这些关键字搜索：php?curtime,htm? curtime,asp?curtime,可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址，验证从你的ip访问过去是否会被 inject.将确实会被inject的结果搜集起来，在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。

上面我们已经说明了，坏家伙是在某个或者某些重要节点上安插了inject设备，那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、D四个被inject到的网站，从四个地方进行路由回溯的结果如下：

MyIP-12-13-14-15-65-[89]-15-57-A

MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B

MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C

MyIP-22-25-29-32-65-45-[89]-58-D

显然,inject设备极大可能就在“89”所在的机房。