本文遵从GPL协议,欢迎转载.
　　1、现象是什么?
　　大约从今年年初开始,很多人就发现,在浏览一些网站的时候,地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”(x为数字),并且弹出广告窗口.很多人以为这是网站自己弹出的广告,也就没有在意.
　　我是属于很在意的那些人之一.

　　2、这是怎么回事?

　　经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关(linux用户也有相关报告).我对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常.可以断定,并不是系统被安装了adware或者spyware.

　　那么是不是那些网站自己做的呢?后来发现,访问我们自己管理的网站时也出现了这种情况,排除了这个可能.

　　那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了我们的HTTP会话——我实在是不愿相信这个答案,这个无耻、龌龊的答案.

　　伟大的谢洛克·福尔摩斯说过:当其他可能都被排除之后,剩下的,即使再怎么不可思议,也一定是答案.

　　为了验证这个想法,我选择了一个曾经出现过上述现象的网站附近网段的某个IP.直接访问这个IP的HTTP服务,正常情况下是没有页面的,应该返回 404错误.我写了一个脚本,不断访问这个IP,同时记录进出的数据包.在访问进行了120次的时候,结束请求,查看数据.120次请求中,118次返回的都是正常的404错误:

HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
Connection: close
Content-Type: text/html
Content-Length: 111

〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉

　　但是有两次,返回了这个:

HTTP/1.1 200 OK
Content-type: text/html

〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
〈script〉
window.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
〈/script〉
〈head〉
〈title〉〈/title〉
〈/head〉
〈body〉
〈/body〉
〈/html〉

　　更进一步分析数据包,可知劫持流程如下:

　　A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话.这个设备按照某种规律,对于某些HTTP请求进行特殊处理.

　　B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端.这个过程是非常快的,我们的 HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应.而任何正常的服务器都不可能在这么短的时间内做出回应.

　　C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受.

　　D、浏览器会根据〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.open函数打开广告窗口.

　　在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索,出现的基本上是国内网站,这表明,问题出在国内.用于inject的设备插在国内的某个或某几个大节点上.

　　真相大白.我们被愚弄了,全中国的网民都成了某些人的赚钱工具.

　　3、现在怎么办?

　　在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰,可以考虑下面的方法:

　　A、请各单位的网络管理员,在网络的边界设备上,完全封锁211.147.5.121.
　　B、在你自己的个人防火墙上,完全封锁211.147.5.121.
　　C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE,可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去.

　　绝不只是广告那么简单,这涉及到我们的选择,我们的自由,这比垃圾邮件更加肮脏和无耻.今天是广告,明天就可能在你下载软件的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里.

　　4、如何把坏家伙揪出来?

　　如果你是一个有权力调查和处理这件事的人,从技术上,可以考虑下面的手段:

　　方法1、

　　伪造的回应数据中并没有处理TTL,也就是说,我们得到的回应数据中TTL是和inject设备位置相关的.以我收到的数据包为例,真实的服务器端回应 TTL是107,伪造的回应TTL是53.那么,从我们这里到被请求的服务器之间经过了21(128-107)个节点,从我们这里到inject设备经过了11(64-53)个节点.只需要traceroute一下请求的服务器,得到路由回溯,往外数第11个节点就是安插inject设备的地方!

　　方法2:

　　假如坏家伙也看到了这篇文章,修改了TTL,我们仍然有办法.在google上以下面这些关键字搜索:php?curtime,htm? curtime,asp?curtime,可以得到大量访问时会被inject的网址.编写脚本反复访问这些网址,验证从你的ip访问过去是否会被 inject.将确实会被inject的结果搜集起来,在不同的网络接入点上挨个用traceroute工具进行路由回溯.分析回溯的结果.

　　上面我们已经说明了,坏家伙是在某个或者某些重要节点上安插了inject设备,那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上.例如有A、B、C、D四个被inject到的网站,从四个地方进行路由回溯的结果如下:

MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D

　　显然,inject设备极大可能就在“89”所在的机房.

　　方法3:

　　另一方面,可以从存放广告业面的211.147.5.121这个IP入手,whois查询结果如下:

inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: hui_zh@sina.com 20011112
status: ALLOCATED PORTABLE
source: APNIC

person: Pang Patrick
nic-hdl: PP40-AP
e-mail: bill.pang@bj.datadragon.net
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed: ipas@cnnic.net.cn 20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: dsl327@btamail.net.cn
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: dsl327@btamail.net.cn 20020403
source: APNIC

　　5、我为什么要写这篇文章?

　　新浪为我提供桃色新闻,我顺便看看新浪的广告,这是天经地义的;或者我安装某某网站的广告条,某某网站付给我钱,这也是天经地义的.可是这个 211.147.5.121既不给我提供桃色新闻,又不给钱,却强迫我看广告,这就严重伤害了我脆弱而幼小的心灵.事实上,你可以敲诈克林斯·潘,强奸克里奥·佩德拉,咬死王阳明,挖成吉思汗墓,我都不会计较,但是现在你既然打搅了我的生活,我就不得不说几句了.

　　6、我是谁?

　　如果你知道MyName,又知道MyCount的话,那么,用下面这段perl可以得到:2f4f587a80c2dbbd870a46481b2b1882.

#!/usr/bin/perl -w

use Digest::MD5 qw(md5 md5_hex md5_base64);

$name = 'MyName';
$count = MyCount;

for ($i=0; $i〈$count; $i++)
{
$name = md5_hex($name);
}

print $name;

以下签名,用于以后可能出现的关于此文的交流:
1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66

            “七月流火”往往被人们理解成形容天气热，多年来报刊上早已这样错用，习非成是。就连人大校长纪宝成也没能免俗。那究竟什么是“七月流火”呢？

            

“七月流火”语出《诗经·国风·豳风》，它的真实含义，与一种天文现象密切相关。

　　词语中的“火”指的是大火星。注意，大火星可不是火星，火星是一颗大行星，而大火星则是一颗恒星。它是天蝎座里最亮的一颗星，中国古代也称之为心宿二。它是一颗著名的红巨星，放出火红色的光亮，所以才由此得名的吧。

　　“流”是一个动词，这里指星的往西运行，落下。

　　“七月”，指的可不是阳历七月，《诗经》的年代，哪里来的阳历呢？所以这里的七月，指的可是农历七月。在农历里，一二三月表示的是春季，四五六月是夏季，七八九月是秋季，十到十二月是冬季，所以农历七月恰恰是由夏入秋的时节。

　　“七月流火”的真实意思，是说在农历七月天气转凉的时节，天刚擦黑的时候，可以看见大火星从西方落下去。

　　值得说明的是，由于春分点的缓慢移动，距今两千多年的《诗经》时代里谈及的“流火”如今在中原地区观察，大约是农历八月时候的事情了。

           8月15日，小泉在政治生涯的最后关头，依旧参拜了靖国神社。中国、韩国、日本三国关系不知道会是什么样子。

           8月15日，上海召开加强党风廉政建设干部大会。起因嘛，陈良宇还通报了上海社保基金案有关情况和祝均一涉嫌严重违反国家财经纪律、收受贿赂问题，以及王成明、韩国璋涉嫌严重违反党纪、正在接受调查等情况。

           祝均一在2002年前后为福禧投资控股有限公司提供高达32亿元的“贷款”，但福禧并未对该笔巨额款项提供担保。且福禧收购沪杭背后的真正出资是来自上海社保的资金，该笔总额32亿元的巨额资金中，却仅有11亿元被用到了沪杭高速。目前，福禧投资董事局主席张荣坤也已案发。   

           上海电气集团上海电气（集团）在短短的两三个星期内，接二连三地发生高管受审事件。上海电气“出事”最早的是其副董事长兼非执行董事张荣坤，他于今年7月24日被有关部门进行调查，现在仍处于“监视居住”状态。据了解，张荣坤东窗事发可能与4年前的一桩公路收购案有关。据说，韩国璋是因为牵涉到张荣坤事件而接受经济审查。而上海电气集团高管中箭下马事件之前，中国的一些大企业，包括北京首创置业、创维数码，以及科龙电器等的高层管理人员，也都纷纷出事。

           明天（8月17日）是前中共中央总书记，国家主席江泽民的80岁大寿，《江泽民文选》的销量将是天文数字。江泽民的稿费至少在1.4400亿以上，看来这可以算是老江的生日礼物了。

           人的思想大概都是很相似的，安排事情的规划也是相类似的。这个星期天是去陪表妹买相机的，高中同学聚会也放在这天，JA游玩居然也是这个周末，21日我要去上课了，20日也是我最后一天了。人的思想真有趣啊。

         首先来批评一下袁昊同志，昨天在群上说的好好的，群下马上和我说不去了，怕天热。。。

         自己去就去吧，一进展厅就是动漫展区，左边是高达和奥特曼，右边是漫画。看了看漫画，连环画好多啊。让我想到小时候家里有一本绿野仙踪，看的老开心的，可惜不知道到哪里去了。再待我一一看来，还有柯南的漫画，我平时网上当的；机器猫，都有了；折纸战士，高中看过点；不过看到最后还是“死亡笔记”的杂志，虽然是中方制作，但口水也流了下来，真是太吸引人了。

         书没有什么好说的，说说自己其他的感受。

         首先来看看名人的show了。早上有廖昌永的签名售牒，当然我没有看到，听说人不多的。下午1点，朱祯开始签名售书了。人挤人是正常的，靠着咱着身子骨挤进去不是问题。朱祯今天戴了个头巾，开始说说笑笑的签名了。斜眼一看，看到贝贝了。贝贝好可爱啊，扎了两条辫子正常的，穿了见黄色的衣服，觉得下巴暴尖。可爱啊，口水又掉下来了。没想到，我又到别处兜了下。回来再看，贝贝居然不在了。换成豆豆了，豆豆今天嘛是蓝色的。没什么好说的。

          陈蓉，好漂亮啊，今天是浓妆艳抹的，来签她的“蓉颜”。大家都拼命往里面挤啊，看美女不要钱嘛。没想到，徐根宝突然出现了，一起开始签了。。。。。。

          最可怕的今天当然是易中天啦，去的时候已经是里三层外三层，估计大概有3、4百人吧。朱祯、陈蓉加起来的人大概才一层吧。当然我没有免俗，带着买的“品三国”排了40分钟后，终于拿到签名了。呵呵，人生的第一次追星，追的是一个文化大家，不是一些娱乐明星，还是感到很欣慰的。

          沈蕾、晓林今天也到场签名了。签的是“今夜我们来谈谈性”，可是我去的时候只看到最后一眼。大一、大二一直听此二人的节目，一个面都没有见到啊，可怜。

          其他一些小作家不认识，也没兴趣签他们的名。

          看了那么多的名人，来看看美女。大家还有机会的话，去看看。首先往文艺出版社的生活类专区，有一穿粉红色长发美女：在往前面走有一个哈利波特专区，门口有人在cosplay吧，穿着魔法衣，拿着魔法杖。极其有灵气的女孩子。在往前有一个卖SanDisk优盘的地方，一小姑娘也有灵气。和前面一差不多。发现自己对这种长发美女，眼睛能盯着你看显出灵气的，瓜子脸的女孩子有好感。而且居然分不清到底谁是谁的，感觉都是一个模子里的。最后在一中央展厅，一卖饮料的女孩很清纯，因为穿着天使服嘛。

          除了人，还有其他一些的。像高达模型啦，340；mcross的真人高模型。

         不过这次居然看见有浙江正龙食品的促销专柜，成食品展台了。

          今天人本来就很多了，居然有人组队，举着广告牌，10人左右到处走。有华师大的，什么软件啦，打字啊。。。。很无聊的。像游行。

          最后来说说我买的书吧。买了三本，一一道来。“品三国”为了签名买的，看过百家讲坛易中天的三国都知道写什么的；“东方大讲坛III"既然去年买了II，今年就买III了啊。还有一本是”进化中的宇宙“，是从宇宙的进化论开讲，不像以前的书品述熵的增加和时间的微度开始出发。

            Ok了，就那么多，大家有空去看看吧。

          

         今天一上来，spaces就升级了啊，看来星期三微软的升级工作很顺利嘛。改成live状态了啊，和msn messager一个风格了，不过有点不适应啊。