<div dir="ltr">Thanks for idea need to work out on this. Any reference document would really appreciate.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 27, 2017 at 8:07 PM, Amar Rathore - CounterSnipe Systems <span dir="ltr"><<a href="mailto:amar@countersnipe.com" target="_blank">amar@countersnipe.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><u></u>

    
<div><p style="color:rgb(0,0,128);font-family:arial,helvetica,sans-serif;font-size:12pt">You can certainly do that.<br></p><p style="color:rgb(0,0,128);font-family:arial,helvetica,sans-serif;font-size:12pt">Setup Suricata to do IPS not  IDS, with NFQ and use iptables to push all/selective eth0/INPUT traffic to Suricata.<br></p><p style="color:rgb(0,0,128);font-family:arial,helvetica,sans-serif;font-size:12pt">You can then use any rules and set action to drop on them as required.<br></p><p style="color:rgb(0,0,128);font-family:arial,helvetica,sans-serif;font-size:12pt">Amar<br></p><p style="color:rgb(0,0,128);font-family:arial,helvetica,sans-serif;font-size:12pt"><br></p><blockquote type="cite"><div><div class="h5">On December 23, 2017 at 2:49 PM Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br><br><div dir="ltr">Hi Guys,<div><br></div><div>Can someone please help me with this idea? I have DNS server set up on CentOS 7.4 which is acting as a sinkhole server where I have installed ELK stack as well. </div><div><br></div><div>Since this named/bind is acting as a sinkhole it is already blocking malicious known domains collected from OSINT.</div><div><br></div><div>My idea here is; if it is possible to integrate/install suricata IPS on same server and monitor on eth0? And since that is a DNS server can I block the response IP addresses received which may be malicious.</div><div><br></div><div>for example</div><div><br></div><div><a href="http://www.looks-genuine.com" target="_blank">www.looks-genuine.com</a> = Domain may not be listed in blacklist</div><div>15.16.1.18 ==> But IP is malicious hence either block it or alert it</div><div><br></div><div>Plus detect the advance level of DNS attacks? like iodine, DNS beacon channels queries? </div><div><br></div><div>Please suggest; can this be achieved? </div></div></div></div>______________________________<wbr>_________________<br>Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@<wbr>openinfosecfoundation.org</a><br>Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br><br>Conference: <a href="https://suricon.net" target="_blank">https://suricon.net</a><br>Trainings: <a href="https://suricata-ids.org/training/" target="_blank">https://suricata-ids.org/<wbr>training/</a></blockquote></div>
 </blockquote></div><br></div>