<div dir="ltr">Hi Guys,<div><br></div><div>Can someone please help me with this idea? I have DNS server set up on CentOS 7.4 which is acting as a sinkhole server where I have installed ELK stack as well. </div><div><br></div><div>Since this named/bind is acting as a sinkhole it is already blocking malicious known domains collected from OSINT.</div><div><br></div><div>My idea here is; if it is possible to integrate/install suricata IPS on same server and monitor on eth0? And since that is a DNS server can I block the response IP addresses received which may be malicious.</div><div><br></div><div>for example</div><div><br></div><div><a href="http://www.looks-genuine.com">www.looks-genuine.com</a> = Domain may not be listed in blacklist</div><div>15.16.1.18 ==> But IP is malicious hence either block it or alert it</div><div><br></div><div>Plus detect the advance level of DNS attacks? like iodine, DNS beacon channels queries? </div><div><br></div><div>Please suggest; can this be achieved? </div></div>