- More efficient mesh accounting per client.

- More predictable testing for cachedb.

- Introduce num.query.cachedb to track cache hits for the external cache.

- Fix unbound-dnstap-socket time fraction conversion for printout.

- Fix unbound-dnstap-socket printout when no query is present.

could not find package netcat for docker container

free memory in error case

remove unused function

typo in comments

- Fix to remove unused variables from RPZ clientip data structure.

- Fix RPZ removal of client-ip, nsip, nsdname triggers from IXFR.

- Fix to print debug log for ancillary data with correct IP address.

- Fix #888: [FR] Use kernel timestamps for dnstap.

- Fix warning in windows compile, in set_recvtimestamp.

- Fix doxygen in addr_to_nat64 header definition.

- Fix to remove unused whitespace from acx_nlnetlabs.m4 and config.h.

- Fix #885: Error: util/configlexer.c: No such file or directory,
  adds error messages explaining to install flex and bison.

- Fix proxy-protocol to read header in multiple reads and check buffer size.

- Fix proxy-protocol buffer checks when writing and read from buffer.

Changelog entry for #722:
- Merge #722 from David 'eqvinox' Lamparter: NAT64 support.
- For #722: minor fixes, formatting, refactoring.

Merge branch 'eqvinox-nat64'

- For #722: Minor fixes, formatting and refactoring.

- Fix RPZ IP responses with trigger rpz-drop on cache entries, that
  they are dropped.

Changelog for #860

Merge branch '0ttl'

Remove msg_del_for_0ttl, call msg_cache_remove directly

Merge branch 'nat64' of https://github.com/eqvinox/unbound into eqvinox-nat64

- Fix for #882: document variable to stop doxygen warning.

- Fix for #882: small changes, date updated in Copyright for
  util/timeval_func.c and util/timeval_func.h. Man page entries and
  example entry.

Merge pull request #882 from vvfedorenko/features/dropqueuedpackets

Features/dropqueuedpackets

stats: add query max wait time metric

Add new statistic value to know the size of the queue in microseconds.

Signed-off-by: Vadim Fedorenko <vadfed@meta.com>

stats: add counter for timed out queries

Add counter `num_queries_timed_out` meaning queries that were sitting in the
socket queue and waiting to being processed too long. There is no reason
to process such queries, so let's drop it in the very beginning of the
pipeline.

Signed-off-by: Vadim Fedorenko <vadfed@meta.com>

config: add sock_queue_timeout configuration

Add sock_queue_timeout config option to have queue timeout configurable.

Signed-off-by: Vadim Fedorenko <vadfed@meta.com>

netevent: parse and store rcv timestamp from sock

Add special field in comm_point to store the software receive timestamp
for every particular UDP packet. Aux data parser is updated to read
values and the whole callback is switched to use recvmsg form.

Signed-off-by: Vadim Fedorenko <vadfed@meta.com>

timeval_func: move all timeval manipulation to separate file

There are several definitions of the same functions manipulating timeval
structures. Let's move them to separate file and arrange the code
preperly.

Signed-off-by: Vadim Fedorenko <vadfed@meta.com>

streamtcp, implement NOTIFY[=N] that sends a notify packet.

Linting change.

Remove config parser/lexer code as it's rebuilded every time but can
break adding new config options.
Also clean up the code base to avoid mixing actual code changes and lint
issues.

Signed-off-by: Vadim Fedorenko <vadfed@meta.com>

streamtcp, implement IXFR=N queries, add documentation for proxy option.

- adjust generic proxy-protocol header for IPv6 support with ifdef.

- Generalise the proxy protocol code

services/authzone.c: remove redundant check

found by cppcheck

services\authzone.c:7513:12: style: Condition 'rrlist[i]' is always true [knownConditionTrueFalse]

- Fix for #878: Invalid IP address in unbound.conf causes Segmentation
  Fault on OpenBSD.

Changelog entry for #875 and #874.
- Merge #875: change obsolete txt URL in unbound-anchor.c to point
  to RFC 7958, and Fix #874.

Merge pull request #875 from dyunwei/master

Changelog entry for #874

Changelog entry for #874

unbound-anchor is compliant with RFC 7958, and the XML format remains unchanged between the old draft and RFC 7958.  Update the comments to improve clarity.

- Show build status for branch=master.

- Fix build badge, from failing travis link to github ci action link.

- Fix for #870: Add test case for the qname minimisation and CNAME.

- Fix #870: NXDOMAIN instead of NOERROR rcode when asked for existing
  CNAME record.

Changelog for issue #676

Fix issue #676: Unencrypted query is sent when forward-tls-upstream: yes is
used without tls-cert-bundle

Model the behavior of unbound in unbound-host: always create a SSL context

Small fixes from Wouter's review

Extra consistency check to make sure that when TLS is requested, either we
set up a TLS connection or we return an error.

Tests for serve-expired in combination with new 0 TTL data.

Fix issue #860: Bad interaction with 0 TTL records and serve-expired

Changelog for issue #851

Fix issue #851: reserved identifier violation

- iana portlist update.

- Fix #812, fix #846, by using the SSL_OP_IGNORE_UNEXPECTED_EOF option
  to ignore the unexpected eof while reading in openssl >= 3.

- Fix ssl.h include brackets, instead of quotes.

- Fix unbound-dnstap-socket test program to reply the finish frame
  over a TLS connection correctly.

fix memory leak in unbound-streamtcp when open_svr failed

==1927474== Memcheck, a memory error detector
==1927474== Copyright (C) 2002-2017, and GNU GPL'd, by Julian Seward et al.
==1927474== Using Valgrind-3.16.0 and LibVEX; rerun with -h for copyright info
==1927474== Command: unbound-streamtcp -f localhost
==1927474==
fatal: bad server specs 'localhost'
==1927474==
==1927474== HEAP SUMMARY:
==1927474==     in use at exit: 131,186 bytes in 4 blocks
==1927474==   total heap usage: 5 allocs, 1 frees, 132,210 bytes allocated
==1927474==
==1927474== 40 bytes in 1 blocks are still reachable in loss record 1 of 4
==1927474==    at 0x483F751: malloc (in /usr/lib64/valgrind/vgpreload_memcheck-amd64-linux.so)
==1927474==    by 0x1E0573: sldns_buffer_new (sbuffer.c:21)
==1927474==    by 0x11ECED: send_em (streamtcp.c:374)
==1927474==    by 0x11E6C1: main (streamtcp.c:585)
==1927474==
==1927474== 40 bytes in 1 blocks are still reachable in loss record 2 of 4
==1927474==    at 0x483F751: malloc (in /usr/lib64/valgrind/vgpreload_memcheck-amd64-linux.so)
==1927474==    by 0x1E0573: sldns_buffer_new (sbuffer.c:21)
==1927474==    by 0x11ECFA: send_em (streamtcp.c:375)
==1927474==    by 0x11E6C1: main (streamtcp.c:585)
==1927474==
==1927474== 65,553 bytes in 1 blocks are still reachable in loss record 3 of 4
==1927474==    at 0x483F751: malloc (in /usr/lib64/valgrind/vgpreload_memcheck-amd64-linux.so)
==1927474==    by 0x1E0583: sldns_buffer_new (sbuffer.c:27)
==1927474==    by 0x11ECED: send_em (streamtcp.c:374)
==1927474==    by 0x11E6C1: main (streamtcp.c:585)
==1927474==
==1927474== 65,553 bytes in 1 blocks are still reachable in loss record 4 of 4
==1927474==    at 0x483F751: malloc (in /usr/lib64/valgrind/vgpreload_memcheck-amd64-linux.so)
==1927474==    by 0x1E0583: sldns_buffer_new (sbuffer.c:27)
==1927474==    by 0x11ECFA: send_em (streamtcp.c:375)
==1927474==    by 0x11E6C1: main (streamtcp.c:585)
==1927474==
==1927474== LEAK SUMMARY:
==1927474==    definitely lost: 0 bytes in 0 blocks
==1927474==    indirectly lost: 0 bytes in 0 blocks
==1927474==      possibly lost: 0 bytes in 0 blocks
==1927474==    still reachable: 131,186 bytes in 4 blocks
==1927474==         suppressed: 0 bytes in 0 blocks
==1927474==
==1927474== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 0 from 0)

Signed-off-by: eaglegai <eaglegai@163.com>

fix potential memory leak in unbound-host when errors happen

==3709953== HEAP SUMMARY:
==3709953==     in use at exit: 276,541 bytes in 23 blocks
==3709953==   total heap usage: 29 allocs, 6 frees, 280,682 bytes allocated
==3709953==
==3709953== 1 bytes in 1 blocks are still reachable in loss record 1 of 23
==3709953==    at 0x4866EC0: malloc (in /usr/lib64/valgrind/vgpreload_memcheck-arm64-linux.so)
==3709953==    by 0x48E2BC3: ub_initstate (random.c:85)
==3709953==    by 0x489B067: ub_ctx_create_nopipe (libunbound.c:114)
==3709953==    by 0x489B31F: ub_ctx_create (libunbound.c:180)
==3709953==    by 0x10E203: main (unbound-host.c:433)
==3709953==
......
==3709953== 8,192 bytes in 1 blocks are still reachable in loss record 22 of 23
==3709953==    at 0x4866EC0: malloc (in /usr/lib64/valgrind/vgpreload_memcheck-arm64-linux.so)
==3709953==    by 0x48E427B: regional_create_custom (regional.c:94)
==3709953==    by 0x48DEA03: edns_strings_create (edns.c:57)
==3709953==    by 0x489B0F3: ub_ctx_create_nopipe (libunbound.c:157)
==3709953==    by 0x489B31F: ub_ctx_create (libunbound.c:180)
==3709953==    by 0x10E203: main (unbound-host.c:433)
==3709953==
==3709953== 262,144 bytes in 1 blocks are still reachable in loss record 23 of 23
==3709953==    at 0x486933C: calloc (in /usr/lib64/valgrind/vgpreload_memcheck-arm64-linux.so)
==3709953==    by 0x48C826F: config_create (config_file.c:179)
==3709953==    by 0x48C85AF: config_create_forlib (config_file.c:383)
==3709953==    by 0x489B0BB: ub_ctx_create_nopipe (libunbound.c:130)
==3709953==    by 0x489B31F: ub_ctx_create (libunbound.c:180)
==3709953==    by 0x10E203: main (unbound-host.c:433)
==3709953==
==3709953== LEAK SUMMARY:
==3709953==    definitely lost: 0 bytes in 0 blocks
==3709953==    indirectly lost: 0 bytes in 0 blocks
==3709953==      possibly lost: 0 bytes in 0 blocks
==3709953==    still reachable: 276,541 bytes in 23 blocks
==3709953==         suppressed: 0 bytes in 0 blocks
==3709953==
==3709953== For lists of detected and suppressed errors, rerun with: -s
==3709953== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 0 from 0)

Signed-off-by: eaglegai <eaglegai@163.com>

#827 review response

- Fix for #852: Completion of error handling.

Changelog entry for issue #825

Merge branch 'master' into ecs-serve-expired-bug

Improved comment

Test cache update from serve-expired and client-subnet-always-forward

ifdef CLIENT_SUBNET

Fix issue #825: interaction between ECS and serve-expired.

Changelog entry for
- Clean up iterator/iterator.c::error_response_cache() and allow for
  better interaction with serve-expired, prefetch and cached error
  responses.

- Clean up iterator/iterator.c::error_response_cache() and allow for
  better interaction with serve-expired, prefetch and cached error
  responses.

- Add testcase for refreshing expired error responses.

- Fix to git ignore the library symbol file that configure can create.

- Fix consistency of unit test without roundrobin answers for the
  cnametooptout unit test.

Changelog entry for
- Allow TTL refresh of expired error responses.

- Allow TTL refresh of expired error responses.

- Fix unit tests for spurious empty messages.

- Fix to ignore entirely empty responses, and try at another authority.
  This turns completely empty responses, a type of noerror/nodata into
  a servfail, but they do not conform to RFC2308, and the retry can
  fetch improved content.

- Fix #841: Unbound won't build with aaaa-filter-iterator.patch.

set modinfo to null last

- Add duration variable for speed_local.test.

Fix copyright date

Regenerate configure for the fix acx_nlnetlabs.m4 for -Wstrict-prototypes.

- Fix acx_nlnetlabs.m4 for -Wstrict-prototypes.

Fix #833: [FR] Ability to set the Redis password.

- Fix #835: [FR] Ability to use Redis unix sockets.

- Add #835: [FR] Ability to use Redis unix sockets.

Changelog note for #819, generate configparser.c and comment syntax change.
- Merge #819: Added new static zone type block_a to suppress all A
  queries for specific zones.

Merge pull request #819 from pavel-odintsov/pavel/suppress_a

Added new static zone type block_a to suppress all A queries for specific zones

cleanup callbacks that might have been registered by Python script

Merge branch 'NLnetLabs:master' into rcm-python-reloading

- Fix test for new default.

- Set default for harden-unknown-additional to no. So that it does
  not hamper future protocol developments.

- Add harden-unknown-additional option. Default on and it removes
  unknown records from the authority section and additional section.
  Thanks to Xiang Li, from NISL Lab, Tsinghua University.

- Set max-udp-size default to 1232. This is the same default value as
  the default value for edns-buffer-size. It restricts client edns
  buffer size choices, and makes unbound behave similar to other DNS
  resolvers. The new choice, down from 4096 means it is harder to get
  large responses from Unbound. Thanks to Xiang Li, from NISL Lab,
  Tsinghua University.

- Fix not following cleared RD flags potentially enables amplification
  DDoS attacks, reported by Xiang Li and Wei Xu from NISL Lab,
  Tsinghua University. The fix stops query loops, by refusing to send
  RD=0 queries to a forwarder, they still get answered from cache.

eliminate unnecessary Python reloading which causes memory leaks

- Improve documentation for #826, describe the large collisions amount.