首发：Meltdown漏洞分析与实践

2018年的第二天Meltdown和Spectre漏洞在计算机界如同放了一个核弹，IT码农们都炸开了锅，各大厂商的各路大神都在挑灯夜战的做各种测试和打补丁，各路技术爱好者也纷纷在微信群中热烈讨论漏洞的技术问题和研读论文。

本文是猫王大神（Xiao Grangrong）同学花了一个周末时间，参考了各路的论文和资料撰写出来，希望对喜欢技术的各位朋友能有一丁点的帮助，感谢猫王大神的精彩文章。

本文作者简介：

[9]      Intel® 64 and IA-32architectures software developer’s manualhttps://software.intel.com/sites/default/files/managed/39/c5/325462-sdm-vol-1-2abcd-3abcd.pdf

[10]     AMD64 ArchitectureProgrammer’s Manual https://developer.amd.com/resources/developer-guides-manuals/

3. 总结

在这里需要指出的是, 也是所有paper没有提到的, 虽然在当前的OS的设计中, 进程在内核空间和用户空间使用的是同一张页表, 但是该页表的内核部份映射的生成是on-demand的, 即在访问的时候才会被逐渐映射,因此只有在系统调用上被touch到的内存才有可能被映射到页表里。所以被严格限制系统调用的用户攻击难度会更大一些, 例如使用seccomp，然后尽管如此, 所有的代码路径不可能完全被审计到。

Meltdown漏洞并不需要利用已有的软件缺陷, 仅仅只需攻击者和受害者在只有一个地址空间中就会有影响, 比如基于container的Docker、 Xen的PV guest等等。基于硬件虚拟化的VM并不会受其影响，然而情况不容乐观, 接下来要分析的Spectre具有更大范围的破坏力。

虽然这篇文章是以cache为例来描述攻击, 但是对体系体构可观察到的影响都可以拿来作为攻击的手段, 比如诱发CPU算术单元的繁忙运算后再来观突某条算术指令执行的时间, 再如观察不同情况下的电力消耗等等。

这一次漏洞的影响之大足以被写进教科书, 甚至会影响接下来所有硬件和OS的设计, 2018年或许是OS, Hardware, Security的新起点。

参考资料

[1]      Negative Result:Reading Kernel Memory From User Modehttps://cyber.wtf/2017/07/28/negative-result-reading-kernel-memory-from-user-mode/

[2]      Google Zero Projecthttps://googleprojectzero.blogspot.com/

[3]      Meltdownhttps://meltdownattack.com/meltdown.pdf

[4]      Spectre Attacks:Exploiting Speculative Execution https://spectreattack.com/spectre.pdf

[5]      KAISER: hiding thekernel from user space https://lwn.net/Articles/738975/

[6]      The current state ofkernel page-table isolation https://lwn.net/Articles/741878/

[7]      Kernel page-tableisolation https://en.wikipedia.org/wiki/Kernel_page-table_isolation

[8]      Prefetch Side-ChannelAttacks: Bypassing SMAP and Kernel ASLR https://gruss.cc/files/prefetch.pdf

•   Xiao Guangrong：Linux内核、KVM/QEMU社区核心开发者和维护者。

• 2018年或许注定就是不平凡的一年，这一年刚开始就爆出来两个硬件设计级别的漏洞，其影响之深令人咋舌。漏洞之一是Meltdown，目前发现Intel CPU和ARM Cortex A75受影响。其次是Spectre，其影响了几乎全部主流CPU包括Intel，AMD，ARM (IBM CPU是否受影响还未知)。漏洞爆出之后，几乎所有媒体都在做铺天盖地的报道，科技公司也在公布各自的解决方案和修正日期。然而因为技术背景参差不齐，有些报道没有说到点子上，令人啼笑皆非。

  本文的主要资料来源于各论文[3][4]与以及相关的Blog[1][2]，其次补充了这些资料中有所忽略或者是互相冲突的地方。因为篇幅原因，在这一篇文章里主要分析了Meltdown。在后续的文章里再来分析Spectre。

• 1. 背景知识

  在深入分析Meltdown之前，我们需要了解一些背景知识。它包括CPU Cache，CPU指令执行，操作系统地址空间隔离的设计。接下来我们依次来看这些知识点。

  1.1 CPU Cache

  现代处理器执行指令的瓶颈已经不在CPU端，而是在内存访问端。因为CPU的处理速度要远远大于物理内存的访问速度，所以为了减轻CPU等待数据的时间，在现代处理器设计中都设置了多级的cache单元。

                    图1 经典处理器的存储结构

  如图1所示，一个拥有2个CPU的系统, 每个CPU有两个Core, 每个Core有两个线程的Cache架构。每一个Core有单独的L1 cache, 它由其中的线程所共享, 每一个CPU中的所有Core共享同一个L2 Cache和L3 Cache。

  L1 cache最靠近处理器核心，因此它的访问速度也是最快的，当然它的容量也是最小的。CPU访问各级的Cache速度和延迟是不一样的，L1 Cache的延迟最小，L2 Cache其次，L3 Cache最慢。

  下面是Xeon 5500 Series的各级cache的访问延迟：（根据CPU主频的不同，1个时钟周期代表的时间也不一样，在1GHz主频的CPU下，一个时钟周期大概是1纳秒，在2.1GHz主频的CPU下，访问L1 Cache也就2个纳秒）。

•  表1：各级存储结构的访问延迟

  访问类型	延迟
  L1 cache命中	约4个时钟周期
  L2 cache 命中	约10个时钟周期
  L3 cache命中