我是如何用 Charles “造”出各种异常流量的

最新推荐文章于 2025-12-18 16:39:10 发布

原创最新推荐文章于 2025-12-18 16:39:10 发布 · 807 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#软件测试和开发 #测试数据 #Charles #网络 #异常流量 #智能化测试 #持续测试

智能化测试同时被 3 个专栏收录

263 篇文章

订阅专栏

持续测试

47 篇文章

订阅专栏

Charles

1 篇文章

订阅专栏

在这里插入图片描述

真实世界的流量远比“happy path”复杂：网络抖动、代理截断、负载突增、客户端实现细节差异、边缘编码与压缩、分片上传、并发重试、多级缓存一致性……这些都会把隐藏问题放大出来。代理工具（像 Charles、mitmproxy、Fiddler）给了测试工程师一个强大的能力——在可控环境中修改、重放和模拟这些异常场景，从而把偶发或长期潜伏的缺陷提前挖出来。

但要注意：我们不是制造攻击，而是负责地构造“异常输入/异常环境”来验证系统鲁棒性、日志可观测性与恢复策略。

一、合规与边界（必须先做的三件事）

明确授权（书面）：任何面向真实系统的异常流量测试都必须有资产所有者的书面同意，明确测试范围、时间窗、危险级别与紧急联系人。
选择合适环境：优先在测试/预发布/沙箱环境执行。若需在生产测试，必须有完整回滚计划、监控告警与变更窗口。
不可外泄敏感信息：采集的日志、会话记录须脱敏；发现的缺陷按组织安全披露流程处理。

只有在满足以上前提下，本文策略才安全且可被采纳。

二、工程化思路：从“偶然发现”走向“可复现断言”

有效的异常流量测试，不应只是人工即兴操作，而要工程化、可复现、可自动化：

定义异常场景目录（比如下文的 12 类）并把每类映射到期望的系统行为（比如：返回 4xx/5xx、记录错误、触发告警、降级响应）。
为每个场景定义可量化断言：响应时间阈值、错误率上限、是否产生日志/Trace、metrics 变化范围等。
将流量变异纳入 CI 的质量门（在受控环境中），并在失败时自动抓取 trace 与上下文。
记录测试矩阵：端类型（移动/桌面/服务端）、协议（HTTP1.1/2/3、WebSocket）、内容类型（JSON、multipart）、认证方式（JWT/OAuth/Session）等因素。

这样，当异常被“造”出时，我们能快速定位、复现并度量修复效果。

三、我常用的 12 类“异常流量”场景（每一类都能揭示不同类别的问题）

下面按“场景类别”列出常见的异常流量类型、它们会暴露的典型问题、以及测试时应关注的可观测项（但不提供可滥用的具体 payload 或利用步骤）。

1. 请求头异常（Malformed / Missing / Oversized Headers）

暴露问题：服务端对头解析的健壮性、反向代理/负载均衡器的头处理、内存分配异常、边界检查不足。
看什么：是否返回可控的错误码、是否出现异常日志或内存增长、是否触发 WAF 规则。

2. 参数/负载变形（类型不符 / 字段顺序变化 / 缺失必填）

暴露问题：后端参数解析弱健壮性、JSON/XML schema 假设、序列化错误导致异常或未捕获异常。
看什么：接口是否对无效输入优雅失败、是否暴露内部错误信息、是否影响其他会话。

3. 分块/截断/不完整体（Truncated Body / Early Close）

暴露问题：流式解析与连接断开的处理、资源泄漏（未关闭流）、事务半提交问题。
看什么：是否导致线程/连接泄漏、是否写入半成品数据、是否有重试机制触发异常行为。

4. 延迟与丢包（模拟高延迟或丢包环境）

暴露问题：超时策略、重试策略、幂等性、连接池耗尽、级联故障。
看什么：重试次数与间隔是否造成放大效应、是否触发熔断/降级、SLO 是否被破坏。

5. 重放与重复请求（Replay / Duplicate）

暴露问题：幂等性设计缺陷（重复操作导致重复扣款/重复创建）、事务控制不严。
看什么：是否有幂等键/幂等策略、是否能正确识别并丢弃重复请求。

6. 并发与竞态（短时间内并发突增 / 顺序逆转）

暴露问题：竞态条件、锁争用、事务隔离不当、缓存并发失效。
看什么：数据一致性是否破坏、错误率与延迟曲线、数据库死锁或回滚。

7. 编码/压缩异常（Content-Encoding 与 Transfer-Encoding 不一致）

暴露问题：压缩解码错误、传输编码边界情况、代理转发问题造成的内容变形。
看什么：返回异常、解析失败日志、是否造成错误的业务结果。

8. 身份与认证异常（Expired / Malformed / Missing Token；Token 降级）

暴露问题：认证/授权逻辑健壮性、错误的异常信息泄露、session 管理缺陷。
看什么：是否按设计拒绝、是否返回最小暴露信息、是否有不当的回退行为（例如降级到 less-secure path）。

9. TLS 与证书边界（截断握手、客户端证书异常、证书重用）

暴露问题：证书校验、证书钉扎、握手失败时的降级处理、与中间代理兼容性。
看什么：是否安全回退、是否记录握手失败的原因、是否出现明文回落。

10. 长连接/Chunked/Streaming 与 WebSocket 异常

暴露问题：连接中断后的资源回收、消息顺序与重传、心跳与超时检测。
看什么：连接泄漏、消息重复/丢失、内存占用随时间增长。

11. 文件/Multipart 边界与大小异常

暴露问题：文件解析器漏洞、临时文件释放、磁盘/内存暴增。
看什么：是否正确限制大小、是否有临时文件泄漏、是否返回安全的错误信息。

12. 上游/下游异常模拟（下游延迟、错误或不响应）

暴露问题：级联故障、错误传播、降级策略失效。
看什么：熔断器、重试与超时策略是否按期望工作；是否有黑名单/回退机制。

四、怎样把“造异常”变成可复现的测试断言（工程实践）

为每个场景定义三件事：
- 输入变异描述（用抽象语句表示，不列举攻击 payload）；
- 期望系统行为（status code 范围、是否应记录特定日志、是否应触发告警）；
- 可量化断言（例如：在 5 分钟稳定期内错误率 ≤ 0.1%、内存增幅 ≤ X MB）。
在受控环境使用代理进行模拟：将测试客户端指向代理，并在代理中对流量进行参数化变异、延迟注入、重复/截断等操作（运维/安全团队提供的测试证书）。
- 将每次测试执行与唯一 Test Run ID 关联，以便在失败时聚合对应的 traces 与 metrics。
自动化回放与对比：抓取正常流量样本（脱敏），参数化生成变异流量并自动回放，收集响应与指标，和基线进行差异化分析。
失败自动化取证：失败时自动拉取相关 trace（span）、日志片段、proxy session dump、堆栈与 DB trace，作为缺陷工单的证据。
把测试变体纳入回归套件：对修复后的版本重复相同变异并验证是否修复（断言应可量化、可自动化验证）。

五、可观测性与分析：你需要哪些指标与位置数据

指标（Metrics）：请求速率、错误率、latency p50/p95/p99、并发连接数、线程/连接池使用率、数据库慢查询数、内存/CPU。
分布式追踪（Trace）：在路径上打通 TraceID，便于把异常请求与后端链路关联。
结构化日志：记录请求 id、user id（脱敏）、request size、headers snapshot、auth status、backend response status。
Proxy Session Dump：保存变异请求与服务响应的会话快照以便回放与分析。

这些数据是把“我看到异常”变为“我们能定位并修复”的关键证据。