daemon/lua: kres can see request zone cut (part)

a part of the zone cut is visible from Lua world:
- zone cut name (dname)
- trust anchor (rrset)
- current key (rrset)

lib/resolve: new flag ALWAYS_CUT

when raised, a response zone cut will be recovered
even if the response came from cache. this is
normally not needed (and incurs additional cache
lookups), but it may be useful for
inspection

daemon: "-c -" doesn't ready any configuration

this includes default configuration, resolver
starts completely blank

daemon: resolve callback has request as well

the second parameter to resolve() callback function
is request (kres.request_t), so the caller can
look into request stats, timing and zone cut data

daemon: -q for quiet mode, deferred TA update

the quiet mode doesn't print neither intro messages nor prompt
in the interactive mode, which makes it useful for scripted usage

daemon/trust_anchors: fixed root key fetch

tests/deckard: synced to master

Merge branch 'deck_test'

tests: sync deckard; lib\iterate: sync to master

lib/iterate: ignore out-of-bailiwick NSs for positive answers

there are broken resolution chains where a zone cut is advertised,
but it doesn't exist and the final NS answers from its parent's
zone cut, which is an attempt to escape bailiwick

example:

resolving A ab.cd.ef
NS ef responds:
 - ab.cd.ef NS X ; adverises ab.cd.ef zone cut
X responds:
 - A ab.cd.ef A 1.2.3.4
 - cd.ef NS X ; escapes previously advertised cut

on the other hand, it is important to fail early for referrals as
it signifies a lame answer

lib/iterate: ignore out-of-bailiwick NSs for positive answers

there are broken resolution chains where a zone cut is advertised,
but it doesn't exist and the final NS answers from its parent's
zone cut, which is an attempt to escape bailiwick

example:

resolving A ab.cd.ef
NS ef responds:
 - ab.cd.ef NS X ; adverises ab.cd.ef zone cut
X responds:
 - A ab.cd.ef A 1.2.3.4
 - cd.ef NS X ; escapes previously advertised cut

on the other hand, it is important to fail early for referrals as
it signifies a lame answer

lib/dnssec: wrong prepend_asterisk() usage was fixed, cleanup

tests/deckard: sync to master

lib/dnssec: nsec3.c, wrong prepend_asterisk() usage was fixed

deckard: sync to master

modules/zonefile: cleanup

scripts: moved LuaJIT to Github, updated deckard

Merge branch 'new-libknot'

tests: synced deckard

tests/cache: disabled malloc faking (broken)

this is broken by changes in libknot2/db api,
needs to be done differently later

modules/view: fixed direct access to addr family

lib/utils: added function for addr family

the field length is platform-dependent

daemon: ignore empty TA instead of failing

daemon: proper initialization of requests's source address

lib: answer finalization was changed

modules/tinyweb: fixed module path

wip: trustanchor(), compat with libknot2/libzscanner1

tests: synced deckard

all: ported to upcoming libknot APIs

this is not going to be backwards compatible change, but it will be the first tagged libknot release sufficient for resolver

modules: doc update

daemon: optional FFI to support e500

build: version bump

modules/policy: updated readme

build: fixed NDEBUG build

tests/deckard: synced to master

layer/iterate: fail answers with NSs outside bailiwick immediately

build: better incremental builds (less depends)

build: do not rebuild hiredis/libmc every time

build: revert hiredis to git

build: install hiredis to PREFIX

build: follow redirects in dl links

build: cleanup, added hiredis/libmemcached to Travis build

daemon: luasec/luasocket optional

build: merged #21,#22

thanks @darix!
fixes #21,#22

build: set soname for ELF libraries with versioning

fixes #20

build: fixed modules depends

fixes #19

build: fixed modules broken by latest build

fixes #18

Merge branch 'build-improvements'

scripts: added basic service/sysconfig/apparmor templates

this should help packaging the project to other platforms

thanks @darix!

support: updated doc, added config examples

build: library able to compile to both static/dynamic versioned libs

* PIE,RELRO+NOW and other security features enabled
* support for both static/dynamic builds with BUILDMODE
* dynamic library is ABI-versioned, starting at 1
* pkg-config file is installed

contrib: compile to convenience static library

this is needed to make sure it always compiles with PIC

build: hardening, doc, cleanup build rules

lib: do not use potentially large stack allocations

rdata may be <=64k + 8B on stack which may be source of various mystery
errors later, for example in bindings or stackspace-constricted env

doc: documented default paths

layer/validate: buggy rrsig qtype resolution in tests

daemon/lua: update defaults (both v4/v6 localhost, 100M cache)

daemon: worker.id and worker.count documented

lib/cache: count clear()s as deletes

build: DESTDIR= support, doc

build: *DIR variables are assembled in Makefile

this allows to override any dstdir variable without
patching config.mk

daemon: root trust anchors automatically bootstrapped from IANA

if the root key file doesn’t exist, it will be populated from root DNSKEY query, which will be validated against root trust anchors retrieved over HTTPS with IANA cert verification against built-in current IANA cert CA. it requires luasocket and luasec for it to work. trust anchors XML file signature is not checked, as there’s no facility for PKCS7 checking yet.

modules/renumber: check config value more properly

travis: more commands

build: updated travis, deckard

Merge branch 'subreq-deduping'

daemon/engine: upped limits

daemon/worker: deduplicate outbound queries

worker can track outbound requests and if N resolutions want the same
subrequest, only one will lead it and others will be notified when it
finishes

this massively reduces number of outbound requests for
slow/unresponsive/low ttl requests

lib/utils: function to get unique key for RR (string)

Merge branch 'cached-insecure-delegs'

lib/resolve: penalize failing NSs

any answer that is considered as malformed/servfail/otherwise bad
penalizes the NS for the next time like timeout, this doesn't apply for
DNSSEC validation failures as it still may be okay for insecure
resolution. EDNS failures are okay because the server is requeried in
the most simple RFC1035 mode before flagging it as failed

this avoids instant requeries for SERVFAILing resolutions

lib/zonecut: do not fetch DS/DNSKEY for cached insecure delegations

when a delegation is provably insecure, it is flagged as INSECURE in
cache (this is different from "unchecked"), when the next query finds
the same zone cut, this information is retrieved and if it was proved to
be insecure before, this status is reused

this prevents refetching of NS/DNSKEY in some situations

modules/stats: added NODATA tracking

lib/rplan: check for null name

Merge branch 'include_cleanup' into 'master'

daemon/io: remove redundant libknot/internal/utils.h include

See merge request !16

daemon/io: remove redundant libknot/internal/utils.h include

lib/dnssec: hoisted some calculations

notably key id doesn’t have to be recalculated every time, cheaper checks should come first, name equality check is cheaper as well

lib/utils: avoid snprintf for latency

lib/resolve: inlining not forced

tests: synced deckard latest repo

lib/resolver: Saturday indulgence

lib/dnssec: bad condition

lib/resolve: explicit cast for <<31 shift

dnssec/signature: static buffer, checks

lib/dnssec: fixed nsec3 opt-out ignored

lib: cleanup, return value checks

tests: updated deckard for OS X 10.10

lib+daemon: annotated lua_error() for static checkers

contrib/ucw: fixed bad malloc retval check

lib/dnssec: fixed missing checks in label skipping

skipping over last/root label returns a pointer to a memory after domain name, this is unsafe

Merge branch 'master' of gitlab.labs.nic.cz:knot/resolver

daemon/worker: added new metrics (queries, dropped, timeout)

Merge branch 'amalg-build'

dnssec/nsec3: fixed oob, bad asserts

tests: deckard new commit

daemon/engine: relax cache syncing strategy

this doesn’t guarantee valid cache after crash,
but then it’s a cache. most of the time on cold
cache is spent on fsyncing as it’s done per each
commit (=> resolved query)

daemon/io: negotiate socket buffer size

daemon/worker: cleanup, cancel active tmrs only

this also fails if the timeout timer cannot be started,
as it would wait for undefined time otherwise

daemon/worker: fixed receiving very large TCP payloads

daemon/worker: cancel immediately when not possible to xmit

lib/resolve: returned tcp-fallback