第一百七十章：熔毁之灾

渡劫期

涉及内核源码：

一

Spectre 的影子消散还不到片刻，林小源脚下的岩石便开始剧烈震颤。裂缝从地底蔓延上来，滚烫的气流从缝隙中喷涌而出。

"这不是 Spectre 了。"林小源后退一步。

裂缝中涌出一道炽白的光。光中浮现出一个扭曲的身影——比 Spectre 更具侵略性，更直接。它没有隐藏，没有伪装，而是赤裸裸地撕裂了用户态与内核态之间的边界。

"我是 Meltdown。"

那声音带着灼烧感，像熔化的金属在流动。林小源感到一股热浪扑面而来——内核内存中的数据，正以一种本不可能的方式被读取。

"乱序执行，"Meltdown 的声音从光芒中传出，"CPU 不按顺序执行指令。当我访问一个内核地址时，权限检查还没完成，数据就已经被读入寄存器了。然后异常发生，CPU 回滚状态——但缓存不会回滚。"

林小源的瞳孔中映出那道白光。他明白了：这比 Spectre 更危险。Spectre 需要训练分支预测器，需要精心构造的攻击序列。而 Meltdown 只需要一条指令——直接读取内核地址。

"所有 Intel CPU 都中招？"

"2018 年之前的，几乎全部，"Meltdown 的光芒微微黯淡了一些，仿佛在为自己的存在感到一丝羞耻，"部分 ARM 也受影响。AMD 倒是免疫——它们的乱序执行不提前加载越权数据。"

/*
 * Meltdown 攻击原理:
 *
 * 1. 乱序执行
 *    CPU 不按顺序执行指令
 *    后续指令可能先执行
 *    异常被延迟处理
 *
 * 2. 攻击步骤
 *    执行用户态代码
 *    访问内核地址
 *    CPU 乱序执行读取
 *    数据进入缓存
 *    异常发生前，缓存已更新
 *    通过缓存时序泄漏数据
 *
 * 3. 影响
 *    所有 Intel CPU (2018年前)
 *    部分 ARM CPU
 *    AMD CPU 不受影响
 *
 * 缓解措施:
 *   KPTI (Kernel Page Table Isolation)
 *     内核页表隔离
 *     用户态看不到内核页表
 *     需要切换页表，有性能开销
 *
 *   硬件修复
 *     新 CPU 修复了这个问题
 *     微码更新
 *
 * 性能影响:
 *   KPTI 带来 5-30% 性能损失
 *   系统调用开销增加
 */

/* 模拟 Meltdown 攻击 */
struct meltdown_result {
    uint8_t leaked_byte;
    int success;
};

/* 模拟乱序执行 */
struct meltdown_result meltdown_attack(uint8_t *kernel_addr) {
    struct meltdown_result result = {0, 0};

    printf("  攻击步骤:\n");
    printf("  1. 用户态代码访问内核地址\n");
    printf("     地址: %p\n", (void*)kernel_addr);

    /* 模拟乱序执行 */
    printf("  2. CPU 乱序执行\n");
    printf("     提前读取内核数据\n");

    /* 模拟缓存时序 */
    printf("  3. 数据进入缓存\n");
    printf("     通过时序推断数据\n");

    /* 模拟泄漏 */
    result.leaked_byte = 0x4B; /* 模拟泄漏的字节 */
    result.success = 1;

    return result;
}

printf("=== 熔毁之灾 — Meltdown 攻击 ===\n\n");

printf("Meltdown 读取内核内存:\n\n");

printf("--- 攻击原理 ---\n");
printf("乱序执行:\n");
printf("  CPU 不按顺序执行\n");
printf("  异常被延迟处理\n\n");
printf("攻击过程:\n");
printf("  mov rax, [kernel_addr]  ; 读取内核地址\n");
printf("  mov rbx, [rax]         ; 乱序执行\n");
printf("  ; 异常发生前，rbx 已进入缓存\n\n");

printf("--- 模拟攻击 ---\n");
uint8_t fake_kernel_data = 0x4B;
struct meltdown_result result = meltdown_attack(&fake_kernel_data);
if (result.success) {
    printf("  泄漏的字节: 0x%02x\n", result.leaked_byte);
}

printf("\n--- Meltdown vs Spectre ---\n");
printf("Meltdown:\n");
printf("  利用乱序执行\n");
printf("  读取内核内存\n");
printf("  影响 Intel CPU\n\n");
printf("Spectre:\n");
printf("  利用推测执行\n");
printf("  读取进程内存\n");
printf("  影响所有 CPU\n\n");

printf("--- KPTI 缓解 ---\n");
printf("KPTI (Kernel Page Table Isolation):\n");
printf("  内核页表隔离\n");
printf("  用户态看不到内核页表\n\n");
printf("实现:\n");
printf("  两套页表:\n");
printf("    用户页表: 只映射用户空间\n");
printf("    内核页表: 映射全部空间\n");
printf("  系统调用时切换页表\n\n");

printf("--- 性能影响 ---\n");
printf("KPTI 性能损失:\n");
printf("  5-30%% 取决于工作负载\n");
printf("  系统调用密集型损失大\n");
printf("  I/O 密集型损失小\n\n");

printf("--- 查看缓解状态 ---\n");
printf("cat /sys/devices/system/cpu/vulnerabilities/meltdown\n");

二

炽白的光芒渐渐收敛，林小源看到 Meltdown 的身影背后浮现出两套巨大的页表。一套只映射了用户空间——低地址的那些区域；另一套映射了全部空间，包括高处的内核领地。

"KPTI，"Meltdown 指着那两套页表，"Kernel Page Table Isolation。以前用户态进程的页表里包含内核映射——方便系统调用时快速切换。但这也意味着用户态代码能'看到'内核页表项，Meltdown 就是利用这一点。"

"所以 KPTI 把内核映射从用户态页表中移除了？"

"对。用户态进程只能看到自己的一亩三分地。系统调用时，切换到内核页表；返回时，再切回来。每次切换都有开销——TLB 刷新、页表切换指令。"

林小源皱眉："性能损失有多大？"

"取决于工作负载，"Meltdown 的光芒微微波动，"系统调用密集的场景，损失可达 30%。I/O 密集的场景，影响较小。平均 5-15%。"

"5-15%……"林小源喃喃道。这是为一个硬件缺陷付出的软件代价。

三

光芒彻底消散后，林小源独自站在裂缝旁。Meltdown 已经走了，但它的影响仍在——那些新出厂的 CPU 虽然在硬件上修复了这个问题，但数以百万计的旧 CPU 仍然需要 KPTI 保护。

他蹲下身，用手指触摸裂缝的边缘。岩石在这里变得脆弱、松散——像 CPU 的乱序执行逻辑，一个微小的设计缺陷，却引发了整个生态的连锁反应。

"硬件犯的错，"他低声说，"软件来买单。"

远处传来一声低沉的钟鸣。那是新 CPU 的微码更新在生效——硬件层面的修复，代价是更换整个处理器。而软件层面的修复，代价是每一次系统调用都变慢一点。

林小源站起身，拍掉手上的尘土。安全的代价从来不是免费的，无论是性能、兼容性还是金钱。选择在哪里妥协，本身就是一种智慧。

---

道藏笔记

内核启示

Meltdown 比 Spectre 更直接——利用乱序执行，一条指令直接读内核地址。CPU 不按顺序执行，权限检查还没完成数据就进了寄存器，异常发生后状态回滚但缓存不回滚。2018 年前的 Intel CPU 几乎全中招，部分 ARM 也受影响，AMD 倒是免疫（它的乱序执行不提前加载越权数据）。

缓解靠 KPTI：维护两套页表，用户页表不映射内核空间，系统调用时切换。代价是每次系统调用都多一次页表切换和 TLB 刷新，性能损失 5-30% 取决于工作负载。新 CPU 在硬件上修复了这个问题，但旧 CPU 还得靠 KPTI 撑着。

Meltdown 是灾难——硬件的缺陷，软件来弥补。

---

破关试炼

Meltdown 之试

熔毁之灾的主要软件缓解手段是把用户页表和内核页表隔离开，本章称为什么？

答对后才能继续滑动和进入下一章。

← 上一回下一回 →