1、现象是什么？

　　大约从今年年初开始，很多人就发现，在浏览一些网站的时候，地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”（x为数字），并且弹出广告窗口。很多人以为这是网站自己弹出的广告，也就没有在意。

　　我是属于很在意的那些人之一。

　　2、这是怎么回事？

　　经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行的http客户端），与使用何种操作系统也无关（linux用户也有相关报告）。我对出现该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统被安装了adware或者spyware。

　　那么是不是那些网站自己做的呢？后来发现，访问我们自己管理的网站时也出现了这种情况，排除了这个可能。

　　那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，劫持了我们的HTTP会话——我实在是不愿相信这个答案，这个无耻、龌龊的答案。

　　伟大的谢洛克·福尔摩斯说过：当其他可能都被排除之后，剩下的，即使再怎么不可思议，也一定是答案。

　　为了验证这个想法，我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直接访问这个IP的HTTP服务，正常情况下是没有页面的，应该返回 404错误。我写了一个脚本。不断访问这个IP，同时记录进出的数据包。在访问进行了120次的时候，结束请求，查看数据。120次请求中，118次返回的都是正常的404错误：

　　HTTP/1.1 404 Object Not Found
　　Server: Microsoft-IIS/5.0
　　Date: Mon, 19 Jul 2004 12:57:37 GMT
　　Connection: close
　　Content-Type: text/html
　　Content-Length: 111

　　〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
　　〈body〉No web site is configured at this address.〈/body〉〈/html〉

　　但是有两次，返回了这个:

　　HTTP/1.1 200 OK
　　Content-type: text/html

　　＜html＞
　　＜meta http-equiv=’Pragma’ content=’no-cache’＞
　　＜meta http-equiv=’Refresh’ content=’0;URL=?curtime=1091231851’＞
　　＜script＞

　　window.open(’http://211.147.5.121/DXT06-005.htm’, ’’, ’width=400,height=330’);
　　＜/script＞
　　＜head＞
　　＜title＞＜/title＞
　　＜/head＞
　　＜body＞
　　＜/body＞
　　＜/html＞