Este es el punto de vista de un programador de bajo nivel: sí, una IOMMU puede mitigar los ataques DMA. La IOMMU determina a qué parte de los dispositivos RAM pueden acceder. Si la IOMMU no permite que un dispositivo asigne una parte particular de la memoria, esa parte de la memoria es inmune a los ataques directos desde oa través de este dispositivo.
En la práctica, el aprovechamiento efectivo de la IOMMU puede ser difícil. Dependiendo de la arquitectura de la máquina, la IOMMU puede tener menos flexibilidad y una granularidad más gruesa que la MMU, por lo que el sistema operativo no siempre puede implementar la política de seguridad óptima. Los dispositivos se pueden multiplexar en el mismo bus de tal manera que diferentes dispositivos con diferentes requisitos y diferentes niveles de confianza tengan una configuración de IOMMU común, lo que requiere compromisos.
Entonces, tener un IOMMU ayuda, pero no es una defensa automática. Y, en términos prácticos, desde el punto de vista del administrador del sistema, tener una IOMMU no es suficiente, lo que importa es cómo lo configura el sistema operativo.
Lea otras preguntas en las etiquetas dma-attack