dnsdist: Only use eBPF for "drop" actions

dnsdist: Document that eBPF is only used for "drop" actions

dnsdist: Set setDynBlocksPurgeInterval()'s default to 60s

Merge pull request #10323 from rgacogne/ddist-tsan-snmp

dnsdist: Make the backend queryLoad and dropRate values atomic

Merge pull request #10310 from rgacogne/fix-simple-match

auth: Prevent dereferencing std::string::end() in SimpleMatch

dnsdist: Make the backend queryLoad and dropRate values atomic

So that there is no race when these vaues are read by the SNMP or
web threads and updated by the health check thread at the same time.
Reported by Thread Sanitizer:

WARNING: ThreadSanitizer: data race (pid=11167)
  Write of size 8 at 0x7b7400002558 by thread T18:
    #0 healthChecksThread() /opt/project/pdns/dnsdistdist/dnsdist.cc:1712:22 (dnsdist+0xf2a4a2)
    #1 void std::__invoke_impl<void, void (*)()>(std::__invoke_other, void (*&&)()) /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/bits/invoke.h:60:14 (dnsdist+0xf40ea2)
    #2 std::__invoke_result<void (*)()>::type std::__invoke<void (*)()>(void (*&&)()) /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/bits/invoke.h:95:14 (dnsdist+0xf40e0d)
    #3 decltype(std::__invoke(_S_declval<0ul>())) std::thread::_Invoker<std::tuple<void (*)()> >::_M_invoke<0ul>(std::_Index_tuple<0ul>) /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/thread:244:13 (dnsdist+0xf40dd5)
    #4 std::thread::_Invoker<std::tuple<void (*)()> >::operator()() /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/thread:253:11 (dnsdist+0xf40d95)
    #5 std::thread::_State_impl<std::thread::_Invoker<std::tuple<void (*)()> > >::_M_run() /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/thread:196:13 (dnsdist+0xf40c29)
    #6 <null> <null> (libstdc++.so.6+0xbbb2e)

  Previous read of size 8 at 0x7b7400002558 by thread T2:
    #0 backendStatTable_handler(netsnmp_mib_handler_s*, netsnmp_handler_registration_s*, netsnmp_agent_request_info_s*, netsnmp_request_info_s*) /opt/project/pdns/dnsdistdist/dnsdist-snmp.cc:356:62 (dnsdist+0xeccf98)
    #1 netsnmp_call_next_handler <null> (libnetsnmpagent.so.30+0x2a0cc)
    #2 SNMPAgent::handleSNMPQueryCB(int, boost::any&) /opt/project/pdns/dnsdistdist/snmp-agent.cc:96:13 (dnsdist+0xfb0847)
    #3 boost::detail::function::void_function_invoker2<void (*)(int, boost::any&), void, int, boost::any&>::invoke(boost::detail::function::function_buffer&, int, boost::any&) /usr/include/boost/function/function_template.hpp:118:11 (dnsdist+0x8937d8)
    #4 boost::function2<void, int, boost::any&>::operator()(int, boost::any&) const /usr/include/boost/function/function_template.hpp:768:14 (dnsdist+0xf9d56c)
    #5 EpollFDMultiplexer::run(timeval*, int) /opt/project/pdns/dnsdistdist/epollmplexer.cc:176:7 (dnsdist+0xfd041b)
    #6 SNMPAgent::worker() /opt/project/pdns/dnsdistdist/snmp-agent.cc:141:24 (dnsdist+0xfb0b6f)
    #7 void std::__invoke_impl<void, void (SNMPAgent::*)(), SNMPAgent*>(std::__invoke_memfun_deref, void (SNMPAgent::*&&)(), SNMPAgent*&&) /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/bits/invoke.h:73:14 (dnsdist+0xf344c9)
    #8 std::__invoke_result<void (SNMPAgent::*)(), SNMPAgent*>::type std::__invoke<void (SNMPAgent::*)(), SNMPAgent*>(void (SNMPAgent::*&&)(), SNMPAgent*&&) /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/bits/invoke.h:95:14 (dnsdist+0xf343c1)
    #9 decltype(std::__invoke(_S_declval<0ul>(), _S_declval<1ul>())) std::thread::_Invoker<std::tuple<void (SNMPAgent::*)(), SNMPAgent*> >::_M_invoke<0ul, 1ul>(std::_Index_tuple<0ul, 1ul>) /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/thread:244:13 (dnsdist+0xf3436e)
    #10 std::thread::_Invoker<std::tuple<void (SNMPAgent::*)(), SNMPAgent*> >::operator()() /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/thread:253:11 (dnsdist+0xf34315)
    #11 std::thread::_State_impl<std::thread::_Invoker<std::tuple<void (SNMPAgent::*)(), SNMPAgent*> > >::_M_run() /usr/bin/../lib/gcc/x86_64-linux-gnu/8/../../../../include/c++/8/thread:196:13 (dnsdist+0xf34079)
    #12 <null> <null> (libstdc++.so.6+0xbbb2e)

Merge pull request #10312 from omoerbeek/rec-pc-sizing

rec: Improve packet cache sizing.

typo

Co-authored-by: Remi Gacogne <github@coredump.fr>

Merge pull request #10311 from rgacogne/ddist-newserver-sockets-doc

dnsdist: Better documentation of newServer's 'sockets' parameter

Merge pull request #10322 from rubenk/typos

Fix two typos in lua scripting docs

Fix two typos in lua scripting docs

Merge pull request #10318 from mnordhoff/toclients

rec: Fix typo in edns-padding-tag help

rec: Fix typo in edns-padding-tag help

Merge pull request #10317 from omoerbeek/rec-export-hosts

rec: Do not put results of DS query for auth or forward domains in negcache.

Also check query type

Add test case

Do not put results of DS query for auth or forward domains in negcache.

Should fix #10189.

Merge pull request #10309 from rgacogne/ddist-16rc1-changelog

dnsdist: Add ChangeLog and secpoll for 1.6.0-rc1

Merge pull request #10303 from rgacogne/rec-proxy-protocol-ecs

rec: Use the correct ECS address when proxy-protocol is enabled

Improve packet cache sizing.

Since queries incoming over TCP are now also using the packet
cache, there is now also one packet cache instance per distributor
thread. Each cache instance has a size of max-packetcache-entries
divided by (threads + distributor-threads).

dnsdist: Better documentation of newServer's 'sockets' parameter

Courtesy of Neil Cook (thanks!).

dnsdist: Add missing #10171 to the ChangeLog

rec: Fix the proxy protocol regression tests

dnsdist: Add ChangeLog and secpoll for 1.6.0-rc1

Merge pull request #10286 from Habbie/rpz-zz-zz

rpz dumper: stop generating double zz labels on networks that start with zeroes

auth: Small cleanup in SimpleMatch

auth: Prevent dereferencing std::string::end() in SimpleMatch

SimpleMatch is called with user-supplied strings in the API and the
bind backend. We might get away with it in most cases because
std::strings are null-terminated, but it's still undefined behaviour
as there is no guarantee that end() will point to the terminator.

Reported by cppcheck 2.4.1:
```
misc.hh:501:16: warning: Either the condition 'mi==d_mask.end()' is redundant or there is possible dereference of an invalid iterator: mi. [derefInvalidIteratorRedundantCheck]
        while(*mi == '*') ++mi;
               ^
misc.hh:502:16: note: Assuming that condition 'mi==d_mask.end()' is not redundant
        if (mi == d_mask.end()) return true;
               ^
misc.hh:501:16: note: Dereference of an invalid iterator
        while(*mi == '*') ++mi;
```

rec: Replace deprecated edns-subnet-whitelist with edns-subnet-allow-list

rec: Add regression tests for Proxy Protocol / ECS interaction

rec: Use the correct ECS address when proxy-protocol is enabled

Merge pull request #10298 from phonedph1/patch-26

rec: print the covering NSEC

Merge pull request #10274 from rgacogne/ddist-tsan-fixes

dnsdist: Fix some issues reported by Thread Sanitizer

Merge pull request #10301 from Habbie/rec-docs-faq-bufsize-bis

two more comments from Otto on recursor FAQ entry about bufsizes

Merge pull request #10300 from omoerbeek/rec-docs-thruth

Rec: recursor is actually a pretty complex piece of code

two more comments from Otto on this text

Merge pull request #10296 from Habbie/rec-docs-faq-bufsize

start off recursor FAQ with some talk about EDNS bufsizes

escape *

Merge pull request #10299 from phonedph1/patch-27

rec: update setting for aggressive-nsec-cache-size

Avoid lines counts and be more honest: rec is a big and complex piece
of code.

dnsdist: Fix a typo in the TSAN suppressions file

dnsdist: Add a TSAN-enabled build on CircleCI

dnsdist: Add a TSAN suppressions list

dnsdist: Make IDState.age atomic when TSAN is enabled

dnsdist: Prevent a race when updating the TeeAction metrics

dnsdist: Fix race conditions in QPSAction, QPSPoolAction

dnsdist: Prevent a race when reloading TLS certificates

dnsdist: Prevent a race in the DelayPipe tests

rec: update setting for aggressive-nsec-cache-size

Update validate.cc

rec: print the covering NSEC

It would be nice to log not only that a name is covered, but what entry actually covers it. This is useful in debugging crazy setups.

mention dig +qr

Merge pull request #10295 from omoerbeek/changelog-revert

Revert previous change to changelog, they should not be changed.

add numbers to diagram

add diagram

more spellcheck

spellcheck

replace IP

explain why 512 is enough

start off recursor FAQ with some talk about EDNS bufsizes

formatting nit

Revert previous change to changelog, they should not be changed.

Merge pull request #10287 from xiaolong-666/master

rec: remove delegation only (issue #7544)

Remove `delegation-only` from the recursor #7544

the code is not glibc specific

comments from code review

auto, reinterpret_cast

Co-authored-by: Remi Gacogne <rgacogne+github@valombre.net>

Merge pull request #10285 from omoerbeek/rec-prep-4.5.0-beta2

rec: Prep for rec-4.5.0-beta2

add tests

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

rpz dumper: stop generating double zz labels on networks that start with zeroes

(partial rewrite; adds tests)

Merge pull request #10291 from omoerbeek/rec-rpz-seed-error

Exception loading the RPZ seedfile is not fatal.

Merge pull request #10148 from Habbie/centos-8-stream-builds

builder, gh actions: add centos-8-stream build

Merge pull request #10288 from omoerbeek/rec-deprecate-settings

rec: Stop using potentially offensive names internally and warn about deprecated settings.

Exception loading the RPZ seedfile is not fatal.

Catch PDNSException and clear on failure.

narrower wildcard for matching centos stream

gh actions: add centos-8-stream build

builder: add centos 8 stream support

Merge pull request #10276 from omoerbeek/rec-qm-aaaa-only

rec: First check the cache for NS name to address contents for both v4 and v6

Fix comments and a redundant test from review.

typos

Stop using potentially offensive names internally and warn about
deprecated settings.

Prep for rec-4.5.0-beta2

Merge pull request #10245 from omoerbeek/qclass

Make QClass a class, including toString() method

Merge pull request #10281 from Habbie/dnsdist-getpool-docs

dnsdist docs: remove addPool; clarify that getPool creates pools

Merge pull request #10271 from Habbie/dnspcap-alignment

fix read alignment in dnspcap

Merge pull request #10234 from Habbie/qtype-names-csync

qtypes: check type registration; add CSYNC

Merge pull request #10171 from Habbie/lua-array-next

lua: don't destroy keys during table iteration

dnsdist docs: mention the default pool in a few places

dnsdist docs: remove addPool; clarify that getPool creates pools

Do not test the individual records' ttls, they should be consistent with the ttl
of the cache entry itself.

First check the cache for NS name to address contents for both
v4 and v6 before going out

This fixes #10263 here, but needs thorough reviewing and testing.

Merge pull request #10244 from rgacogne/ddist-better-docs

dnsdist: Document internal design, add tables and pictures

Merge pull request #10267 from rgacogne/ddist-dr-bindings

dnsdist: Add missing getEDNSOptions and getDO bindings for DNSResponse

Merge pull request #10275 from omoerbeek/rec-tsan

rec: Fix a few cases discoverd by tsan:

rec: Fix a few cases discoverd by tsan:

- The NegCache and MemRecursorCache destructors were not deadlock free
  when running from testrunner. The purpose of the code in the dts
  is also unclear, so delete them.

- quit-nicely uses a volatile sig_atomic_t, which is not thread-safe
  according to tsan. Replace by atomic.

Merge pull request #10272 from omoerbeek/rec-docs-reorder

rec: Reorder subjects and change titles, to make TOC more logical

Merge pull request #10268 from omoerbeek/rec-frstm-query-addr

rec: Log local IP in dnstap messages

Reorder subjects and change titles, to make TOC more logical

Merge pull request #10256 from Habbie/rfc6742-sizeof

RFC6742 types: use correct size

fix format specifier for size_t

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Aslo test query_address for value and query_port for presence