IOMMU能防止DMA攻击吗？

Question

IOMMU实际上是做什么的?它是管理设备的内存访问，就像MMU对进程的访问一样，还是它更简单，不提供虚拟化/访问控制？

因此，基本上我的问题是: IOMMU是否减轻DMA攻击？

Answer 1

下面是一个低级程序员的观点:是的，IOMMU可以减少DMA攻击。IOMMU确定RAM设备的哪一部分可以访问。如果IOMMU不让设备映射内存的某个特定部分，那么该内存的该部分就不会受到来自或通过该设备的直接攻击。

实际上，有效地利用IOMMU是很困难的。根据机器体系结构的不同，IOMMU可能比MMU具有更小的灵活性和更粗的粒度，因此操作系统无法始终实现最优的安全策略。可以在同一总线上多路复用设备，使具有不同需求和不同信任级别的不同设备具有共同的IOMMU配置，需要折衷。

因此，有一个IOMMU是有帮助的，但它不是一个自动防御。实际上，从系统管理员的角度来看，拥有一个IOMMU是不够的，重要的是操作系统如何配置它。