Force fall-back to TCP when bad cookie received.

Send cookies only in queries.

Use only those cookies that match the current client secret.

Support for cookie options caching.

Checking received cookies against addresses in nsrep.

Added FNV-64 code.

Preparations for using nsrep mechanism to guess response origin.

Temporarily fixed packet corruption when adding cookie data.

Added code trying to obtain client IP address from libuv UDP handle.

Using actual remote server address to re-generate cookie.

Obtaining server IP address when generating query.

Resolver is able to insert dummy client cookies into generated requests.

Trying to insert cookies into request form layer.

Currently without success.

Introduced  empty cookies module.

lib/generic: fixed typo in lru code

this caused a bug in pseudo-lru table that negated
stickiness of values to table slots

scripts: bumped used libknot version to 2.3.0

daemon/lua: support new libknot 2.3 soversion

Merge branch 'fix-segfault-in-early-quit' into 'master'

Fix segmentation fault in early shutdown from `quit()` in config

kresd was segfaulting if configuration file contained `quit()`

See merge request !42

Fix segmentation fault in early shutdown from `quit()` in config

Merge branch 'tls-listen' into 'master'

DNS over TLS and TCP out-of-order processing

Refresh !18

I merged few bits from @dkg branch, but there are two notable things missing:
- watch for on-disk chang of credentials - not sure if this is really needed, I would suggest a separate MR, where we can discuss benefits of doing so.
- ephemeral key generation from `net.tls_servicename` - this is fine, but instead of setting `tls_servicename`, let's make it an explicit generator e.g. net.generate_certificate("name") instead of setting `tls_servicename` in the `struct network`. Again I would suggest a separate MR.

To test the TLS listen, you can use a dns-over-tls branch from Knot DNS:
```
./daemon/kresd --tls=127.0.0.1\#5353
net.tls("cert", "key")
```

```
$ ./src/kdig +tls -p 5353 www.cmu.edu @127.0.0.1
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 9741
;; Flags: qr rd ra; QUERY: 1; ANSWER: 2; AUTHORITY: 0; ADDITIONAL: 0

;; QUESTION SECTION:
;; www.cmu.edu.         IN A

;; ANSWER SECTION:
www.cmu.edu.         86400 IN CNAME www-cmu-prod-vip.andrew.cmu.edu.
www-cmu-prod-vip.andrew.cmu.edu. 21600 IN A 128.2.42.52

;; Received 107 B
;; Time 2016-08-05 11:52:25 CEST
;; From 127.0.0.1@5353(TCP) in 2146.1 ms
;; TLS session info: (TLS1.2)-(ECDHE-RSA-SECP256R1)-(AES-256-GCM)
```

See merge request !41

Merge branch 'unbuffer-kr_log_info' into 'master'

Ensure that kr_log_info() gets sent promptly to stdout

If stdout is buffered, kr_log_info() might take ages to show up in the
output stream.  Since this stream could be interleaved with stderr
(e.g. kr_log_error()), it would be good to be able to see the messages
in the order in which they are generated.

See merge request !40

Ensure that kr_log_info() gets sent promptly to stdout

If stdout is buffered, kr_log_info() might take ages to show up in the
output stream.  Since this stream could be interleaved with stderr
(e.g. kr_log_error()), it would be good to be able to see the messages
in the order in which they are generated.

daemon/tls: cleanup, documented tls functions

Make the travis builds verbose

gnutls_certificate_get_x509_crt requires gnutls 3.4.0

Log key-pinning strings for TLS keys

RFC 7858 explicitly defines an out-of-band key pinning profile as one
authentication mechanism.  It uses the same format for representing
the pin as HPKP does (RFC 7469).

By logging this pin directly upon first use of the X.509 credentials,
we make it a little bit easier for an admin to publish part of a
pinset.

For ideal operation (including preparation for key rollover), a backup
public key should also be provided, but this is not defined
functionally here.

daemon/main.c, daemon/bindings.c, daemon/tls.c, daemon/worker.h: cleanup

Move tls_credentials to struct network

provide a way for systemd-supervised services to listen on TLS via socket activation

initialize GnuTLS logging cleanly, once at daemon/worker start.

We also propagate kresd's verbosity into the TLS logging level

Remove the extra indirection in tls_certificate_free

Move struct tls_credentials_t from daemon/worker.h to daemon/tls.h

daemon/tls: cleanup

Fix the memory leak by returning kr_error(ECONNRESET) on end of stream

Add reference counting to gnutls credentials, so they don't get destroyed while used

Initialize global TLS credentials in the worker_ctx and initialize GnuTLS logging at global level

Miscelaneous fixes in coding style

Revert default EDNS0 buffer size to 4096

daemon: lower minimum allowed edns bufsize to 512

there are cases where switches or middle-boxes
block DNS/UDP answers >512 octets completely,
this gives user an option to mitigate that.
however, there are authoritatives serving
large answers that don't support TCP, so it's
a compromise as always

listen using TLS on specific sockets

kresd has --tls/-t by analogy with --addr/-a where the daemon opens
the socket itself.

This changeset adds equivalent functionality for inherited sockets:
--tlsfd/-T by analogy with --fd/-Sa

fix kresd internal help docs, describe --tls in kresd(8)

Handle more processing from tls_process to worker_process_tcp

daemon/tls: fixed improper use of callback, leaks

the TLS sessions now bypass the usuall event loop asynchronous iops
this is because the whole operation is synchronous right now, and
implementing asynchronous send operations would require TLS session to
restart write events on the event loop and making sure the "on complete"
callback is called eventually

daemon/tls: process all records on input

this is a workaround probably, but we need to
process all records in received buffer otherwise
it loses the rest of the data

WIP: first pass at TLS implementation

daemon/network: global TLS certificate and key configuration

daemon: ported DNS/TLS preparation code to 1.1

Actively link to gnutls

TLS: update documentation

sd_listen_fds_with_names() requires libsystemd >= 227

Merge branch 'systemctl-help' into 'master'

add Documentation= reference to knot-resolver.service

This makes "systemctl help knot-resolver" bring up the appropriate man
page.

See merge request !39

add Documentation= reference to knot-resolver.service

This makes "systemctl help knot-resolver" bring up the appropriate man
page.

Merge branch 'control-socket-activation' into 'master'

Control socket activation

This branch provides reasonable configs for full systemd socket activation for kresd.

See merge request !36

update documentation to explain systemd socket-activation configuration

systemd rules for closely-supervised knot-resolver service

This is a fully-socket-activated knot-resolver service that can run as
a non-priivleged user named knot-resolver.

allow control socket to be specified by systemd supervision

When run under systemd supervision, accept a control socket from the
supervisor if the name supplied is "control".

See FileDescriptorName= in systemd.socket(5) for more details.

modules: deprecated tinyweb, superseded by http

this module is superseded by http module, removing

Revert default EDNS0 buffer size to 4096

layer/rrcache: added check for cname chain loops

iterator already checks this and also chain length,
however these checks were omitted in the rrcache
CNAME unroll loop

daemon: lower minimum allowed edns bufsize to 512

there are cases where switches or middle-boxes
block DNS/UDP answers >512 octets completely,
this gives user an option to mitigate that.
however, there are authoritatives serving
large answers that don't support TCP, so it's
a compromise as always

daemon: always refetch CNAME target in 'strict' mode

in normal mode, only final CNAME target is refetched, but
not intermediate CNAMEs. intermediate CNAMEs are *never* cached,
but they are used to get final name for requery. in strict mode now,
every CNAME target is explicitly fetched even if it's a chained CNAME.

modules/http: limit graph to 1000 datapoints

Merge branch 'doc-cleanup' into 'master'

more kresd.8 cleanup

See merge request !35

Merge branch 'help-the-emacs-users' into 'master'

emacs turds should never make it into git

See merge request !34

more kresd.8 cleanup

emacs turds should never make it into git

Add some autogenerated files to .gitignore

Merge branch 'doc-cleanup' into 'master'

Doc cleanup

This is a simple cleanup of documentation

See merge request !33

avoid warning from nroff

document the long options for kresd

move URLs from http to https where supported

www.gnu.org prefers https

doc/build: mention geoip dependency

doc: small issues

lib/layer: avoiding usage of libknot's layer.h

doc: extend license list in http module

Suggested by @ondrej.

doc: fix nitpicks

daemon/network: allow listening on part of interfaces

when whole interface is passed and some of the addresses are not bindable,
the daemon will print them, but will continue to bind to the rest of the
addresses

fixes #80

modules: http, graphite, policy, daf support map()

all relevant modules now support running in
forked mode and polling workers for information.
for example graphite module can poll stats from
all workers and then aggregate before sending,
or HTTP module can run on the process group leader
only and then poll workers for information.

daemon: worker publishes usage information

daemon: workers are interconnected with IPC pipes

forks are connected with IPC pipes to process
group leader and can execute expressions on its
behalf. so running commands over all workers
is easy now:

> hostname() -- single
localhost

> map 'hostname()' -- all
localhost
localhost
localhost

daemon/engine: fixed unpacking of POD JSON vars

modules/daf: RESTful API documentation, cleanup

modules/http: cleanup

modules/http: some metrics are treated as gauges

modules/http: reworked metrics interface

* the dygraphs are now leveraged for drawing as
  canvas based drawing is much faster than
  svg based rickshaw
* refreshed theme and layouts, code cleanup

tests: synced deckard

daemon/worker: reverted inbound deduping

the e638f9fb6e5aa20e090ebfa52255abc36a619bfd introduced deduplication
for queries over UDP, the idea is to track same queries and answer
only once, however that introduces both constant processing and
memory overhead and could break clients who count packet loss
by queries sent/received. disabling for now.

modules/http: keep history of last 120 datapoints

* the http module collects stats snapshots on one
  central location and then streams it to clients
* history of last 120 datapoints (at least 2min)
  is kept for convenience

modules/daf: cleanup, proper ws closing

modules/policy: doc update, compat with 1.0 api

doc: cleanup

modules/daf: new interface version, allows mirror

modules/http: allow reason next to the error code

modules/policy: chain rules, postrules, mirror, doc

* rules may now be chained if the rule action
  doesn't return next state. in this case, next
  matching rule will be executed. this is useful
  for snooping actions
* rules now may be paused/deleted
* implemented a new action for query mirroring to
  given destination

daemon/worker: track query in BEGIN and dst addr

* in the begin() layer, the incoming query is
  exposed as req->qsource.packet, it is invalidated
  after begin() and should not be modified
* the destination address (local interface) is
  also tracked for filtering purposes

modules/daf: a functional web interface

the interface has a declarative rule builder that
assists in building and validating rules, as well
as seeing how much traffic do they match

modules/http: new bootstrap3 based web interface

this is going to be the building block for visual
ui as it provides many useful semantic objects and
style classes. since we already provide the
snippet system, it's possible to add subpages to
the ui without hacking everything inside

modules/http: added safe stream handler, doc

modules/policy: unique ids for rules, match counter

these are used as a handle to patch/modify rules
later in their lifetime, also added a rule match
counter to find out which rules match inbound
traffic