出处:
http://blog.sina.com.cn/s/blog_667ac0360102xi8p.html
http://blog.51cto.com/fengwan/1875011
https://www.cnblogs.com/coco1s/p/5777260.html
https://blog.csdn.net/wangzhjj/article/details/52661569
通过以上分析,基本可以断定以下事实:
* 从C到G(Google网站)的TCP会话正常建立后(103-105),C发出的HTTP搜索请求(106)被一个离客户C很近的设备给劫持了,伪造了来自G网站的数据包,并且很快的(~68ms)返回了HTTP回复(107),而且该回复并不符合HTTP RFC规范!该回复内容是让浏览器下载一个来自IP地址(http://125.64.31.13:81/)的javascript脚本,该脚本内容是提交搜索到search.cninspirit.com,这是为什么能在浏览器状态栏中看到访问该地址的原因。来自伪造G网站的数据包继续完成了与C客户的TCP会话过程(108,111,112,117);而在这时,真正来自G网站的数据包才到达C客户机,然而该TCP会话已经被来自伪造G网站的数据包正常终止,因此C客户机向G网站发送了连接已经不可用(RST)的信息(122).