抵御Zombieload攻击会破坏你的表现

为了充分保护自己免受潜在的Zombieload攻击，供应商和早期基准测试表明，您将面临高达40%的性能损失。英特尔芯片Zombieload安全漏洞有多糟糕?这取决于你问谁。但潜力是严重的，攻击者可以监视你的数据。是的，修复程序已经存在，但即使使用操作系统补丁的新微码，为了完全保护您的系统免受潜在的Zombieload攻击，您必须关闭Intel CPU超线程。如果您不希望计算机以一脚踩的方式运行，则不希望关闭超线程。但是，如果没有超线程，您的系统是否安全?英特尔认为你会好的。但那么，还有什么呢?其他公司不同意。

Canonical，Ubuntu Linux背后的公司，建议禁用超线程- 如果系统用于执行不受信任或潜在的恶意代码。当然，没有人意味着运行这样的代码，但是如果你在云上，则无法控制下一个虚拟机(VM)中的邻居正在运行的内容。Red Hat同意Zombieload在云上尤其危险。

正如云安全公司Twistlock的首席技术官John Morello所说，“这个漏洞可能对密集的，多租户的公共云提供商产生最大的影响。在单用户环境中，它的兴趣远没那么大。”

尽管如此，Apple和Google都警告他们的MacOS和Chrome OS用户可能希望禁用超线程来获得全面保护。事实上，谷歌现在默认从Chrome OS74开始禁用超线程。

因此，如果您想真正保护您的系统 - 虚拟或物理 - 您必须关闭超线程。这是一个糟糕的性价比。

即使英特尔承认，禁用超线程也会使CPU性能降低9%。苹果公司已经发现，通过包括多线程工作负载和公共基准测试在内的测试，性能将降低Mac的速度“降低40%。”Zombieload的研究人员表示同意。他们表示，关闭超线程会使“某些工作负载的性能下降30%至40%”。

其他基准测试也显示完全保护自己免受Zombieload攻击将导致你的速度占很大比例。

多少?Linux基准测试站点Phoronix使用其最新的稳定版本和修补后的Linux 5.0内核测试了Ubuntu 19.04上的工作负载，而新的英特尔CPU微码图像发现Linux - 迄今为止最重要的云操作系统 - 遭遇了严重的性能问题。其测试的几何平均值显示，“现在这些默认缓解措施的开箱即用性能降低了16%”。

当您关闭超线程以获得最大安全性时，通常情况会更糟。在PostgreSQL的基准，例如，发现几乎40%的一个表演停止性能下降。与此同时，Ngnix基准测试的性能受到了约34%的痛苦。

那么，你应该一直保护你的服务器吗?英特尔表示，“实际利用MDS [微架构数据采样，又称Zombieload]是一项非常复杂的工作.MDS本身不会为攻击者提供一种选择泄露数据的方法。”

至于我，它可能很复杂，但是已经有了漏洞的全部细节，以及概念验证代码，只有时间才有人制作一个易于使用的攻击程序。所以，我已经在我的基于云的服务器上禁用了超线程。我建议你也这样做。