网站流量被劫持，说实话以前只是一个简单概念，现在真切能感受到。客户端发来的请求被劫持后进行篡改再次发出，进而导致一些问题。在绿盟科技人员的参与下，很快有了一些结论。
排查第一步：确认是否有规律
     经过大量测试发现，确实有一定的规律，会在系统请求网址根目录下增加一个8位字符串，具体表现是：http://IP:7007/ffff8b57  ，这八位字符串前四位是固定的，后四位则是随机变化的。
排查第二步：确定代码是否有问题
     把正式生产环境中的系统安装包全部拷贝到新服务器上（同样的配置及操作系统），在同样版本IIS下部署后，进行了1000次访问操作模拟，借助谷歌浏览器的网络记录功能，详细记录每次请求及服务器响应情况。经过实际测试后发现新服务器上没有问题。同理排除了代码的问题；
排查第三步：电脑病毒（木马）排查
     在服务器上安装了安全狗、火绒后，进行了全面扫描，因为文件比较多，持续时间都分别超过了2小时，经过扫描发现了php.webshell病毒及一个宏病毒，感染了1200多个文件。但是经过核查，这些病毒对请求地址没有篡改的能力，故暂且放弃处理。
排查第四步：网络问题排查
     这块分了两块，在服务器本机上访问系统，经过近2000余次的访问请求测试，没有任何异常。但是一旦跨网段（由192.27.89段访问服务器192.27.88段）就又会出现地址呗篡改现象。
     通过以上四个步骤，基本就确认了是网络这块得问题，排除代码和病毒的问题后，其网络问题就只能交给机房网络运维人员处理。 说实话以上四个步骤也是明确责任问题，也是能够清晰向客户领导汇报的内容。每次测试完毕后都会及时留存相应的截图及大概的结论，并与相关人员进行确认。这样反馈给客户的内容是经得起质问，同时也重要是帮助自己能尽快梳理出问题的核心所在。
追加：最后查明是我的系统请求流量被WAF（Web应用防护系统）设备篡改了。学习之路漫漫啊。。。