修補(bǔ)漏洞對(duì)應(yīng)用性能造成的影響

時(shí)間：2022-03-31 22:36:01 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-31 22:36:01 來(lái)源：行業(yè)動(dòng)態(tài)

為了不對(duì)安全帶來(lái)影響，解決Meltdown和Spectre漏洞最直接的方法就是打補(bǔ)丁。然而這一方法卻導(dǎo)致應(yīng)用性能顯著下降，這也是英特爾等公司備受詬病與壓力的原因。

這里有必要再提下Meltdown和Spectre漏洞產(chǎn)生的原因，其中亂序執(zhí)行（Out-of-order Execution）、推測(cè)執(zhí)行（Speculative Execution）和分支預(yù)測(cè)（Branch Prediction）三大CPU采用的技術(shù)是造成漏洞產(chǎn)生的根本原因。簡(jiǎn)單理解，Meltdown破壞了位于用戶應(yīng)用和操作系統(tǒng)之間的基本隔離，導(dǎo)致程序可能訪問(wèn)其他程序和操作系統(tǒng)內(nèi)存，從而產(chǎn)生敏感信息會(huì)被竊取的可能性。Spectre則是破壞了不同應(yīng)用程序之間的隔離， 處理器會(huì)推測(cè)在未來(lái)有用的數(shù)據(jù)并執(zhí)行計(jì)算，當(dāng)這些數(shù)據(jù)被需要時(shí)可立即使用。但是處理器沒(méi)有很好地將低權(quán)限的應(yīng)用程序與訪問(wèn)內(nèi)核內(nèi)存分開(kāi)，這意味著攻擊者可以使用惡意應(yīng)用程序來(lái)獲取應(yīng)該被隔離的私有數(shù)據(jù)。

然而為了應(yīng)對(duì)這一問(wèn)題，目前的補(bǔ)丁技術(shù)只能是使用軟件來(lái)降低黑客利用預(yù)測(cè)執(zhí)行來(lái)入侵內(nèi)核內(nèi)存，主要的補(bǔ)丁是將每個(gè)進(jìn)程的內(nèi)核地址和用戶地址共享映射表改為內(nèi)核地址和用戶地址各有自己獨(dú)立的映射表PGD（Page Global Directory），這樣一來(lái)在用戶空間根本沒(méi)有內(nèi)核空間的映射表，即使漏洞存在，黑客也不會(huì)從內(nèi)核獲得數(shù)據(jù)。但是這樣的代價(jià)就是每次系統(tǒng)調(diào)用或者中斷發(fā)生時(shí)都需要切換映射表，這無(wú)疑會(huì)影響應(yīng)用的性能。

因?yàn)镸eltdown和Spectre主要是產(chǎn)生于用戶態(tài)和內(nèi)核態(tài)交互之間，黑客利用用戶態(tài)和內(nèi)核態(tài)之間的短暫未保護(hù)狀態(tài)的瞬間竊取信息。所以從應(yīng)用角度來(lái)看，如果應(yīng)用有很多用戶態(tài)和內(nèi)核態(tài)之間的交互，顯然受漏洞影響就比較大。如果應(yīng)用在內(nèi)核態(tài)和用戶態(tài)之間的操作比較少，它受漏洞的影響也就比較小。

從對(duì)于業(yè)界應(yīng)用的影響來(lái)看，英特爾確認(rèn)性能損失取決于工作負(fù)載。比如常見(jiàn)的OLTP應(yīng)用，為了提升效率，往往需要將資料緩存到內(nèi)存中，所有的OLTP操作都是由內(nèi)核來(lái)完成，如果不使用Meltdown和Spectre的補(bǔ)丁，應(yīng)用很容易被黑客攻擊；如果使用補(bǔ)丁，根據(jù)第三方測(cè)試數(shù)據(jù)，應(yīng)用性能可能會(huì)有8% 到19%的損失。對(duì)于一些內(nèi)核層和用戶層很少通訊的應(yīng)用來(lái)講，性能影響就會(huì)小些甚至不受影響。

根據(jù)業(yè)內(nèi)分析發(fā)現(xiàn)，應(yīng)用修復(fù)所產(chǎn)生的系統(tǒng)性能影響如下所示：

模擬常見(jiàn)企業(yè)和云工作負(fù)載的基準(zhǔn)測(cè)試顯示， 性能降低 2% 至 5%。
數(shù)據(jù)庫(kù)分析和Java VM 基準(zhǔn)測(cè)試顯示，性能降低 3% 至 7%。
在線交易類的 OLTP 基準(zhǔn)測(cè)試顯示，性能降低 8% 至 19%。
使用了支持加速器技術(shù)（包括 DPDK、RDMA 等） 網(wǎng)卡的應(yīng)用性能退化微乎其微，甚至完全不受影響。



（圖）修復(fù)后的不同類型應(yīng)用的平均性能損失

所以，總體看來(lái)，使用犧牲性能的方式來(lái)解決問(wèn)題，無(wú)疑不是一個(gè)好的方案。