1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Насколько медленнее будет ваша система после патчей для Spectre-Meltdown? Насколько медленнее будет ваша система после патчей для Spectre-Meltdown?

Тема в разделе "Уязвимости и шпионаж", создана пользователем x-sis, 12.01.2018.

  1. x-sis
    Думаю

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.881
    Симпатии:
    12.537
    Лучшие ответы:
    28
    Пол:
    Мужской
    Адрес:
    Россия
    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    В начале недели компания Intel Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста обновление микрокода для большого числа актуальных и устаревших моделей процессоров. Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения KPTI-патчей к ядру Linux (микрокод необходим для полноценного закрытия уязвимости Spectre);

    Также Intel Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста данные об изменении производительности систем с процессорами 6, 7 и 8-го поколений после обновлений безопасности, связанных с закрытием уязвимостей “Spectre” и “Meltdown”, собранные как от пользователей, так и с помощью синтетических тестов.

    Под катом несколько интересных выводов из данных, опубликованных Intel, а также о воздействии патчей на Linux-системы:

    Результаты исследования Intel для клиентских систем
    • Результат, полученный для теста SYSMark 2014 SE Data/Finance Analysis, оказался весьма обнадеживающим для бизнес-пользователей.
    • Геймеры также должны вздохнуть с облегчением, так как тест 3DMark Sky Diver показывает, что производительность игр DX11 практически не подвержена влиянию обновлений безопасности.
    • Тест, который показал наибольшее снижение производительности — SYSMark 2014 SE Responsiveness. Он показал, что производительность снижается на величину до 21% для рабочих нагрузок, таких как запуск приложений, запуск файлов, просмотр веб-страниц с несколькими вкладками, многозадачность, копирование файлов, шифрование и сжатие файлов, а также установка фонового приложения.
    Влияние обновлений на платформах с процессорами 8-го поколения (Kaby Lake, Coffee Lake) с твердотельными накопителями невелико — менее 6 процентов. В некоторых случаях пользователи могут видеть более заметный эффект. Например, пользователи, которые используют веб-приложения, которые связаны со сложными операциями JavaScript, могут иметь несколько более высокие потери быстродействия — до 10 процентов.

    Влияние на производительность Skylake несколько выше, но в целом соответствует наблюдениям на платформах 8-го и 7-го поколений (приблизительно 8 процентов в тесте SYSMark2014SE). Также проведены замеры производительности на одной платформе с Windows 7. Наблюдаемое воздействие менее значительное (приблизительно 6% в тесте SYSMark2014SE). Эффект еще ниже на системах с жесткими дисками вместо SSD. Таким образом, ПК с Windows 7 и HDD практически не теряют производительности.

    Результаты доступны в таблице ниже.

    [​IMG]
    В pdf-формате доступно Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста.

    Подробнее о тестах

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    Следующие приложения (сгруппированные по сценарию) устанавливаются и/или используются в SYSmark 2014 SE.

    [​IMG]

    [​IMG]
    [​IMG]
    [​IMG]

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    PCMark 10 содержит тесты, которые охватывают широкий спектр работ, встречающихся в современном офисе: от повседневных потребностей и приложений до требовательной к ресурсам работы с медиа-контентом.

    [​IMG]

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    Исходя из того, какой из сценариев больше похож на сценарий работы пользователей администрируемых вами систем, вы сможете оценить вероятное снижение производительности после установки обновлений.

    В случае, если эффект обновлений вас не устраивает, на сайте Microsoft размещена информация о том, как можно отключить последнее исправление. Подробнее по Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста.

    Производительность Linux-серверов

    В настоящее время усилия вендоров по защите направлены на исключение трех векторов возможных атак. Патчи против Meltdown реализуют техники KPTI (Kernel Page Table Isolation — изоляция таблицы страниц ядра) и KAISER (Kernel Address Isolation to have Side-channels Efficiently Removed — изоляция пространства адресов ядра во избежание атак по стороннему каналу).

    В прошлый четверг специалисты Google рассказали о программной конструкции retpoline, созданной ими для защиты от атак Spectre.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    «Техника Retpoline в настоящее время вводится в компилятор Clang/LLVM как средство защиты от одного из вариантов Spectre-уязвимостей, — говорит Джефф Танг (Jeff Tang), старший аналитик в Cylance. — Однако компилятор LLVM преимущественно используется в Apple macOS, некоторых Linux и BSD-дистрибутивах, а также в Google Chrome. В этом списке отсутствуют Microsoft Windows и другие популярные программы для Microsoft Windows, которые обычно используют компилятор C/C++ производства Microsoft».

    Google сообщает, что техника retpoline уже развернута в облачной инфраструктуре и ее влияние на производительность «ничтожно». Michael Larabel основатель Phoronix.com провел тестирование Linux-систем с Retpoline Patch. В целом, его исследование это Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста.

    KPTI Patche для Linux, как ожидается, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста к снижению производительности от 5% до 30%.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    И наконец, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    [​IMG]
    Результат одного из тестов

    По информации от Red Hat использование патчей для устранения уязвимостей CVE-2017-5754, CVE-2017-5753 и CVE-2017-5715 в Red Hat Enterprise Linux 7 приводит к замедлению выполнения задач на 1-20%:
    • Наибольшее проседание производительности (8-20%) наблюдается в работе СУБД на нагрузках OLTP, при случайном доступе к прокэшированной памяти, при активном буферизированном вводе/выводе, при большой интенсивности переключения контекста между ядром и пользовательским уровнем (выполнение системных вызовов). Большие потери наблюдаются в тестах tpc, sysbench, pgbench, netperf (до 256 байт) и fio (случайный доступ к памяти NvME).
    • Падение производительности на 3-7% отмечается при выполнении аналитических запросов в СУБД, в системах поддержки принятия решений (DSS) и в Java VM, в моменты интенсивного обмена информацией по сети или при обращениях к диску.
    • Снижение производительности на 2-5% наблюдается в решениях HPC (High Performance Computing) при большой вычислительной нагрузке на CPU, если большинство работ выполняется в пространстве пользователя с применением привязки к ядрам CPU или использованием numa-control (например, тесты Linpack NxN и SPECcpu2006);
    • Минимальное влияние на производительность (менее 2%) проявляется в системах, в которых применяются методы прямого доступа к ресурсам в обход функций ядра и различные техники offload-ускорения. Например, тесты DPDK (VsPERF 64 байт) и OpenOnload (STAC-N).
    Больше сведений об обновлениях и тестах производительности, связанных с уязвимостями Meltdown и Spectre можно найти Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    Black Angel, HADD-NEELS и ANDYBOND нравится это.

Поделиться этой страницей

Загрузка...