Fix a reload memleak in the duplicate sig detection hash.

Clean up packet pool at shut down.

Update Changelog for 1.3rc1 release

sc_atomic_cas replaced with sc_atomic_set

http: add unittest to test \r in header line.

htp: keep track of header line terminators so http_raw_header can reconstruct exact headers.

http_raw_header: add some debug code.

icmpv6: for ICMPv6 info messages set payload ptr and length to right after 4 byte hdr.

afpacket: fix compilation in debug mode.

Update coccinelle script to match syntax evolution.

cleaning: fix warning when building with clang.

clang was issuing some warnings related to unused return in function.
This patch adds some needed error treatment and ignore the rest of the
warnings by adding a cast to void.

af-packet: use counter for drop and accept

This patch adds counters for kernel drops and accepts to af-packet
capture module. This information are periodically displayed in
stats.log:
capture.kernel_packets    | RxAFP1                    | 1792
capture.kernel_drops      | RxAFP1                    | 0
The statistic is fetch via a setsockopt call every 255 packets.

af-packet: add support for BPF filter.

This patch adds support for BPF in AF_PACKET running
mode. The command line syntax is the same as the one
used of PF_RING.
The method is the same too: The pcap_compile__nopcap()
function is used to build the BPF filter. It is then
injected into the kernel with a setsockopt() call. If
the adding of the BPF fail, suricata exit.

af-packet: get datalink for each socket creation.

This patch will allow us to use the datalink when computing the filter.
It also fixes a potential issue where an interface data type change
after the interface if going down/up.

http body inspection: force body inspection on stream eof.

default config: add engine-analysis.rules directive.

inline: fix unified2 alert direction selection

filemd5: fix compilation if libnss isn't available

filemd5: add support code for md5 handling for signatures.

Don't display a warning when log-pcap tries to remove an already removed file.

http header won't inspect set-cookie headers. Set-cookie part of cookie keyword now. Also update the http header inspection engine

Free pcre study structs for classification, threshold and reference parsing.

code cleanup for live swap

Fix compiler warning.

update clean up of old detection engine contexts for live rule swap

DetectEngineCtxFree() cleanup, also in main

Replace the old atomic sets using cas with the new sc_atomic_set macro

free flowvar entries in flow after live rule swap. Sync flowbits entries into packet struct to be used by alert debuglog when alert debuglog is enabled

disable live rule swap when -s or -S option's used at startup

Introduce util-signal.[ch]. Move our signal setup functions here

Simplify flow resetting on de_ctx update. Detect ctx id starts at 1. So in a flow 0 means uninitialized (thus set) and if we detect flow is not equal to detect id, we reset the sgh storage and de_state.

If new ruleset requires any htp callbacks that aren't already set, don't load new ruleset; request user to restart suricata + disable setting fileinsepection flags unconditionally in main

add unittest for atomic operation with void *

live rule support added

To reload ruleset during engine runtime, send the USR2 signal to the engine, and the ruleset would be reloaded from the same yaml file supplied at engine startup

cleanup threshold config de-init

slot_data updated as an atomic var no

byte_extract_id var now a non-global de_ctx specific var

make mpm ctx container de_ctx specific. Also introduce global variable in mpm_ctx. this is a workaround for cleaning non global mpm_ctx's since we now don't supply the de_ctx around the detection engine API

clean reference config API

clean classification config API

util action api returns error code if it encounters wrong values parsing wrong action conf

variable names global vars, global no more. Moved to detection engine ctx, a place it belongs

fix replace unittets. Re-set modified global_var to orignial value when the test completes

Kill engine during init stage if it fails to load valid value for sgh-mpm-context

clear root node during conf de-init. also create root_backup when the root is restored back using it

http: decode double decoded path and query string characters. Bug #464.

build: Use expanded sysconfdir to pass as CONFIG_DIR to the code.

http: make client and server body inspection more robust in cases where realloc fails

detect: Only run mpm on HTTP buffers in the proper direction. Fixes a file_data FN.

dcerpc/smb/smb2: more robust error checking, cosmetic code updates.

some more mpm engine cleanup

mpm engine cleanup. Remove unnecessary flags

cookie header now inspects Set-Cookie headers as well

unittests that fail, displaying the issue that we don't inspect set-cookie headers against cookie keywords

The next patch in the series will fix the issue and let the unittests pass as well.

pcap: make sure thread count is 1 if config is missing for a device.

#482 - use decode_flag for all decode TMs. Use the flag as a way to retrieve decode TMs from ThreadVars

we now support offset, depth inspection against all packet payloads and stream messages

tests to highlight that

- suricata treates sigs with offset/depth without any packet keywords as stream sigs
- as a consequence suricata will FN on such sigs

The tests introduced here will fail, displaying the issues.  The
next patch in the series would fix the said issues.

stream raw reassembly fix

fast pattern cleanup - Remove FastPatternSupportEnabledForSigMatchList() and all it's associated structures

http user agent keyword + mpm + inspection + fast pattern support added

Add pcap workers mode.

Some cards like Napatech or Myricom support libpcap wrappers that allow for
multiple streams, queues, ringbuffers. The workers mode can be of use in
those cases.

bug #471 - file_data fast pattern unittests added

bug #471 - http server body fast pattern unittests added

rule analyzer: minor cleanups. Fix warning-only setting, allow true/yes/enabled for yaml option.

Fix commandline supplied yaml path being ignored.

feature 349 rule analyzer v1

OpenBSD: fix tar command.

config: use config file in sysconfdir by default.

Added -T switch to suricata output.

Simply added the -T to be printed out when suricata is run without any
arguments.  The capability to test a configuration file has been in
suricata for some time, just doesn't show up as an option right now.

filemd5: implement negated matching.

Update changelog to reflect 1.3beta2 changes.

Disable dce unittests that tick off clamav. #458.

bug #458 - unittest that uses clamav FPing payload disabled for now. Needs to be rewritten though with new payloads

Fix compilation warning.

tls: debug compilation fixes, new tls decoder rule for tls.error_message_encountered event.

ssl connection error message event added. Remove warning log for the same error alert

ssl parser fix/updates

We have a new probing parser to detect sslv2 records. todos to be covered later

filemd5: handle case where no md5 support is compiled it.

Add filemd5 keyword that loads a list of md5's to match a file's md5 against.

Add a new hash datatype to do speedy lookups of read only uniform data, like md5's.

pfring: protect pfring_set_bpf_filter with a lock as it's not thread safe.

Autotools: make 'install-full' now run 'install' too.

unified2: minor cleanups

Improve error reporting in case of syntax errors in the address and port vars.

file: fix file length and md5 tracking when file storing is disabled

#449: fix md5 calculation in daemon mode.

pfring: move missing timestamp handling code to PfringProcessPacket.

Fix missing timestamps in some flavours of PF_RING

http: add test to make sure a missing space between header name and value is not a problem (ref #474).

unified2: big rewrite to clean up code that deals with tcp segment logging.

OpenBSD: introduce SCLocalTime function.

This function is a wrapper to localtime_r. It is needed to avoid
a compilation warning on OpenBSD. I'm forced to type the function
to a non pointer first parameter. If not we will have to use two
differents functions in OpenBSD where tv->tv_sec is a long
(different from time_t).

Add debug messages to HTTP error/warning handling.

Support FNAME and FCOMMENT extensions in gzip'd http content.

stream: improve error checking.

replace: add missing malloc return value check.

pfring: follow API change

As pointed out in issue #459, pf_ring API has changed. Since
5.4.0 release pf_ring_open has one less argument.

Make sure all fake packets have datalink type DLT_RAW. Make sure stream end packets set pkt size.

OpenBSD: setup specific place for magic file.

This patch fixes the path to the default magic file on OpenBSD.