detect: group content inspect keyword id's

detect: group types used in traffic variables

Traffic variables (flowvars, flowbits, xbits, etc) use a smaller int for
their type than detection types. As a workaround make sure the values fit
in a uint8_t.

threshold: add by_flow support for global thresholds

Allow rate_filter and thresholds from the global config to specify
tracking "by_flow".

detect/threshold: implement tracking 'by_flow'

Add support for 'by_flow' track option. This allows using the various
threshold options in the context of a single flow.

Example:

    alert tcp ... stream-event:pkt_broken_ack; \
        threshold:type limit, track by_flow, count 1, seconds 3600;

The example would limit the number of alerts to once per hour for
packets triggering the 'pkt_broken_ack' stream event.

Implemented as a special "flowvar" holding the threshold entries. This
means no synchronization is required, making this a cheaper option
compared to the other trackers.

Ticket: #6822.

util/var: add comments explaining types

util/var: remove printf; add assert

http2: do not expand duplicate headers

Ticket: 7104

As this can cause a big mamory allocation due to the quadratic
nature of the HPACK compression.

modbus: abort flow parsing on flood

Ticket: 6987

Let's not spend more resources for a flow which is trying to
make us do it...

detect: remove unnecessary detect thread flags stores

detect/nfs: do not free a null pointer

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=69840

detect/base64: Use Rust defined modes everywhere

Issue: 6487

To avoid ambiguity, a single definition for base 64 decoding modes will
be used. The Rust base64 transform contains the definitions for the
existing mode types: Strict, RFC2045, RFC4648

doc/transform: Correct typo

doc/transform: Describe the from_base64 transform

Issue: 6487

Document the new transform and indicate that it's the preferred way to
perform base64 decoding (preferred over base64_decode)

detect/transform: Add from_base64 transform

Issue: 6487

Implement the from_base64 transform:
    [bytes value] [offset value] [mode strict|rfc4648|rfc2045]

    The value for bytes and offset may be a byte_ variable or an
    unsigned integer.

detect/transform: from_base64 option parsing

Issue: 6487

Implement from_base64 option parsing in Rust. The Rust module also
contains unit tests.

detect/parser: Refactor utility routines

Refactor utility functions/definitions from the byte_math module into
the parser module. This includes parse_var and ResultValue

Issue: 6487

flow: declare and use constansts where possible

flow/manager: make fn calls only when necessary

flow/timeout: cleanup fn names and comments

flow: remove unneeded args to fn

flow/manager: add fn docs

flow: add defensive check

packetpool: use DEBUG_VALIDATE statement

flow: use bool wherever possible

detect/icmp: require real packet in signature

Fixes: 956c8bebd1 ("detect/prefilter: use sig mask to exclude pkt engines")

detect: add to signature mask for decode events

Ticket: 6291

detect: fix check for app_layer events

Ticket: 7106

af-packet: Remove unused preprocessor define

Remove unused preprocessor value; exposed by compilation warning

output: configurable payload_length field for alerts

Ticket: 7098

dcerpc: add app-layer metadata in alerts

Ticket: 6090

filestore: do not try to store a file set to nostore

Ticket: 6390

This can happen with keyword filestore:both,flow
If one direction does not have a signature group with a filestore,
the file is set to nostore on opening, until a signature in
the other direction tries to set it to store.
Subsequent files will be stored in both directions as flow flags
are now set.

app-layer: fix -Wshorten-64-to-32 warnings

Ticket: #6186

Warnings about downcast from 64 to 32 bits

util: fix -Wshorten-64-to-32 warnings

Ticket: 6186

Warnings about downcast from 64 to 32 bits

Generic fixes required to get app-layer clean

detect: remove unused field

content_inspect_window is used in app-layer-smtp, but
not directly in detect-file-data

detect: add tls.alpn keyword

Ticket: #7108.

eve/schema: update for alpn

eve/tls: log ALPN for client and server

Part of the extended logging.

Logs `client_alpns` and `server_alpns` arrays in the tls object.

Ticket: #7055.

tls: store all ALPN records in the state

For later logging and detection.

eve/schema: minor enip reformat

github-ci: run cargo update test on pull requests

Previously it was run once a week, hiding some issues until
Monday's. Instead run on pull requests, but still not every push.

detect/icmp-id: remove prefilter pseudo check

This is now handled at registration with SIG_MASK_REQUIRE_REAL_PKT.

detect/dsize: remove prefilter pseudo check

This is now handled at registration with SIG_MASK_REQUIRE_REAL_PKT.

detect/stream_size: allow match on pseudo packets

Often used with stream content, which can be inspected with pseudo packets.

detect/csum: remove pseudo packet checks

detect/csum: general code cleanups

detect/prefilter: use sig mask to exclude pkt engines

Add an argument to the packet prefilter registration function to include
`SignatureMask` flags. This will be used at runtime to only call these
prefilter engines when the mask check passes.

detect/prefilter: minor function ptr cleanup

Use a typedef'd function pointer for packet Prefilter callbacks to make
the code consistent with the other callbacks.

detect: remove pseudo checks from packet keywords

Keep as debug validation check.

detect: skip pseudo packets if sig needs real pkt

If a signature uses a condition that requires a real packet, filter
out pseudo packets as early as possible. To do this, the SignatureMask
logic is used.

This allows for the removal of checks for pseudo packets in individual
keywords `Match` functions, which will be done in a follow up commit.

Update analyzer to output the new flag.

Ticket: #7002.

tests: move detect http.uri tests to suricata-verify

Ticket: 3725

fuzz: adapt target to number of keywords being dynamic

Ticket: 4683

rust: remove unnecessary nested unsafe

sip: use right slice to take line from

We iterate over input, but we are now at start.
Avois quadratic complexity turning to OOM.

Ticket: 7093

rust/ike: prefix never read field names with _

New warning from rustc.

The other option is to allow dead code, however this is more explicit,
and when they are read, its obvious they should be renamed.

rust: simply matches with unwrap_or_default

New default clippy warning:
https://rust-lang.github.io/rust-clippy/master/index.html#manual_unwrap_or_default

rust: fix clippy lint for legacy_numeric_constants

https://rust-lang.github.io/rust-clippy/master/index.html#legacy_numeric_constants

cargo: use default-features instead of default_features

"default_features" is being deprecated in Rust 2024.

detect/enip: move keywords to rust

Ticket: 4863

detect/websocket: move keywords to rust

Ticket: 4863

detect/dhcp: move keywords to rust

Ticket: 4863

detect/snmp: move keywords to rust

Ticket: 4863

On the way, convert unit test DetectSNMPCommunityTest to a SV test.

And also, make snmp.pdu_type use a generic uint32 for detection,
allowing operators, instead of just equality.

detect: helper to have pure rust keywords

detect: make number of keywords dynamic

Ticket: 4683

enip: remove unnecessary unsafe

As the function SCEnipRegisterParsers is already marked as unsafe

profiling: check packet flag first

This fixes the state handling and simplify the logic.

profiling: add option to active rules profiling at start

When replaying a pcap file, it is not possible to get rules
profiling because it has to be activated from the unix socket.
This patch adds a new option to be able to activate profiling
collection at start so a pcap run can get rules profiling
information.

doc: port user install and build instruction from master-6.0.x

Ticket: #6686

github-ci: add minimal build for Ubuntu and AlmaLinux

github-ci: remove gosu from installed packages

doc: update eBPF compilation instructions

Ticket: #6599

doc/userguide: document iprep isset/isnotset

doc/userguide: add more operators to iprep

detect/iprep: update function naming

Bring in line with new Rust code naming for FFI functions.

detect/iprep: implement isset and isnotset

Implement special "isset" and "isnotset" modes.

"isset" matches if an IP address is part of an iprep category with any
value.

It is internally implemented as ">=,0", which should always be true if
there is a value to evaluate, as valid reputation values are 0-127.

"isnotset" matches if an IP address is not part of an iprep category.

Internally it is implemented outside the uint support.

Ticket: #6857.

reputation: minor cleanup

No need to init ptrs to NULL after SCCalloc.

detect/iprep: update keyword parser for extendibility

misc: prefix functions with SC not Sc

detect/noalert: point noalert/alert to new doc

doc/userguide: add noalert/alert keyword docs

doc/userguide: give pcre1 to pcre2 proper heading

detect: implement 'alert' keyword as a companion to 'noalert'

This can be used to implement alert then pass logic.

Add support for alert-then-pass to alert handling routines.

Ticket: #5466.

detect: set ACTION_ALERT for rules that should alert

Replaces default "alert" logic and removed SIG_FLAG_NOALERT.

Instead, "noalert" unsets ACTION_ALERT. Same for flowbits:noalert and
friends.

In signature ordering rules w/o action are sorted as if they have 'alert',
which is the same behavior as before, but now implemented explicitly.

Ticket: #5466.

detect/alert: minor loop cleanup

detect/noalert: minor cleanup

websocket: add data frame

Ticket: 7051

userguide/upgrade: add note about alerts' increase

With triggering stream reassembly early, since for certain types of
rules there may be more alerts triggered - even in IPS mode, make this
clear in the upgrading section.

Bug #7026

dns: allow triggering raw stream reassembly

For TCP streams, app proto stream reassembly can start earlier, instead
of waiting and queueing up data before doing so.

Task #7018
Related to
Bug #7004

enip: convert to rust

Ticket: 3958

- transactions are now bidirectional
- there is a logger
- gap support is improved with probing for resync
- frames support
- app-layer events
- enip_command keyword accepts now string enumeration as values.
- add enip.status keyword
- add keywords :
    enip.product_name, enip.protocol_version, enip.revision,
    enip.identity_status, enip.state, enip.serial, enip.product_code,
    enip.device_type, enip.vendor_id, enip.capabilities,
    enip.cip_attribute, enip.cip_class, enip.cip_instance,
    enip.cip_status, enip.cip_extendedstatus

files: remove the need for state in callbacks

As files now belong to transactions

app-layer: remove unused parameters

smtp/mime: look for urls in base64 message

Ticket: 5185

Previously, it was looked for message in plain text, and base64
encoding was only handled for attachments.

This commit also fixes the buffering got such base64 data streamed
into urls finding, by buffering a beginning non-empty line,
and by ensuring that we run extraction on the last line,
even if it had no EOL.

dpdk: simplify and fix build

fuzz: build with dependencies on rust and c lib

So that there is no need to remove the final binary, to recompile
it if there has been changes in the code.

ci: fix and test with Wunused-macros

Ticket: 6937

Completes ce9bfba76a785e6a02cbbe796a23be6c4e5bc553

eve/stats: add description for flow mgr & recycler

Ticket 6434

doc/userguide: fix rule container typo

Fixes: 8781e9352a6c ("doc/userguide: add documentation for SMTP frames")

pgsql: trigger raw stream reassembly

Expose the raw stream earlier to the detection engine, as Pgsql can have
multiple messages per transaction and usually will have a message
complete within one TCP packet.

Bug #7000

Related to
Bug #7026

pgsql/logger: open json object from logger function

Before, the JsonBuilder object for the pgsql event was being created
from the C-side function that actually called the Rust logger.

This resulted that if another module - such as the Json Alert called the
PGSQL logger, we wouldn't have the `pgsql` key present in the log output
- only its inner fields.

Bug #6983

doc/userguide: add documentation for SMTP frames

smtp/frames: initial frame support

Adds the following frames:

  command_line
  data
  response_line

The *_line frames are per line, so in multi-line responses each line
will have it's own frame.

Ticket: #4905.

flow-worker: debug output about updates