stream: support RST getting lost/ignored

In case of a valid RST on a SYN, the state is switched to 'TCP_CLOSED'.
However, the target of the RST may not have received it, or may not
have accepted it. Also, the RST may have been injected, so the supposed
sender may not actually be aware of the RST that was sent in it's name.

In this case the previous behavior was to switch the state to CLOSED and
accept no further TCP updates or stream reassembly.

This patch changes this. It still switches the state to CLOSED, as this
is by far the most likely to be correct. However, it will reconsider
the state if the receiver continues to talk.

To do this on each state change the previous state will be recorded in
TcpSession::pstate. If a non-RST packet is received after a RST, this
TcpSession::pstate is used to try to continue the conversation.

If the (supposed) sender of the RST is also continueing the conversation
as normal, it's highly likely it didn't send the RST. In this case
a stream event is generated.

Ticket: #2501

Reported-By: Kirill Shipulin

stream-events: fix mapping

smb: log trans2 that enable delete on close

smb1: add support for trans2 set_path_info rename

smb: improve dcerpc logic

Detect whether a pipe is a dcerpc channel based on the name of the
pipe.

smb1: improve NT Create response record parsing

http: fix setting event on the last tx

pcap-file: fix segv on bad pcap format

http: set events for too many layers of compression

libhtp would already issue warnings, but these were not mapped
to events yet.

source-pcap-file: delete when done (2417)

https://redmine.openinfosecfoundation.org/issues/2417

Add option to have pcap files deleted after they have been processed.
This option combines well with pcap file continuous and streaming
files to a directory being processed.

detect: fix memory leak in app-layer-event keyword

Bug #2515.

app-layer/tcp: set STREAM_MIDSTREAM flag

rust/smb: search for record on midstream start

Calls with both START and MIDSTREAM mean the record might be cut and the
start of it could be missing. For this case, enable the same logic as is
used when catching up after a GAP. Search for the start of the record
instead of assuming it sits exactly at the start of the input data.

rust: define all STREAM_* types

app-layer: pass STREAM_* flags to parser

Pass the STREAM_* flags to the app-layer parser functions so that
the parser can know more about how it is called.

detect: fix delayed detect

Last multi-detect changes broken delayed-detect by refusing to reload
a 'stub' detect engine. This patch distinguishes between a stub for
multi-tenancy and for delayed detect.

add note about eve-alert metadata

Signed-off-by: jason taylor <jtfas90@gmail.com>

doc: alphabetize EXTRA_DIST

doc: add window ips inline doc to extra_dist

doc: make warnings errors when building man page

doc: link in windows ips setup page

detect: reload-rules shouldn't reload a stub

detect/debug: suppress noisy info messages

detect/multi-tenant: fix mix of default detect engine and tenants

detect: make detect engine types explicit

There are 3 types of detect engine objects:
    1. normal
       The normal detection engine if no multi-tenancy is in use

    2. tenant
       A per tenant detection engine

    3. stub
       A stub (or minimal as it was called before) detect engine
       that is needed to have something in place when there are
       only tenants.

       A stub is also used in case of 'delayed detect', where we
       need a minimal detect engine to start up which is replaced
       by a full (normal type) detect engine after startup.

This patch adds a new field 'type' to the DetectEngineCtx object
to distinguish between the types. This replaces the boolean 'minimal'.

dhcp: suppress notice message at startup

rust/dns - remove extra parantheses

Removes rust compiler warning.

Redmine issue:
https://redmine.openinfosecfoundation.org/issues/2521

yaml-loader: fix memory leak on fail include

Redmine issue:
https://redmine.openinfosecfoundation.org/issues/1929

If an include failed to load, either by the file not existing or
a parse error, the file pointer and yaml parser instance were
leaked.

output-json-alert: log correct dns and dnp3 tx

Using transaction log entry is not correct to log the transaction
that did cause the alert. The tx_id in the PacketAlert is correct
so let's use that.

detect/multi-tenant: fix removing of tenant id 0

unix/multi-tenant: improve (log) messages

detect/tenants: fix crash when adding mapping

When no tenants and mappings are defined in 'live' mode, adding a
mapping resulted in a crash.

detect: remove lock from global keyword logic

The global keyword registration and per thread init handling used
the lock from the DetectEngineMasterCtx. This lead to a dead lock
situation at multi-tenancy tenant reloads.

The lock was unnecessary however, as the only time the registration
list is updated is at engine initialization. At that time Suricata
is still running in a single thread. After this, the data structure
doesn't change anymore.

Bug #2516.

Adds WinDivert support to Windows builds

Enables IPS functionality on Windows using the open-source
(LGPLv3/GPLv2) WinDivert driver and API.

From https://www.reqrypt.org/windivert-doc.html : "WinDivert is a
user-mode capture/sniffing/modification/blocking/re-injection package
for Windows Vista, Windows Server 2008, Windows 7, and Windows 8.
WinDivert can be used to implement user-mode packet filters, packet
sniffers, firewalls, NAT, VPNs, tunneling applications, etc., without
the need to write kernel-mode code."

- adds `--windivert [filter string]` and `--windivert-forward [filter
    string]` command-line options to enable WinDivert IPS mode.
    `--windivert[-forward] true` will open a filter for all traffic. See
    https://www.reqrypt.org/windivert-doc.html#filter_language for more
    information.

Limitation: currently limited to `autofp` runmode.

Additionally:
- `tmm_modules` now zeroed during `RegisterAllModules`
- fixed Windows Vista+ `inet_ntop` call in `PrintInet`
- fixed `GetRandom` bug (nonexistent keys) on fresh Windows installs
- fixed `RandomGetClock` building on Windows builds
- Added WMI queries for MTU

travis: use gcc-7 on cocci build

Catches more errors, like switch statements fall throughs
that are caught in private QA.

doc: fix minor typo

filestore: fix truncation warnings

packet: gre over ip link type

tls: document encrypt-handling option

Document in sample yaml and user guide.

tls: new config for dealing with encrypted traffic

Much of encrypted traffic is uninteresting to Suricata. Once encrypted
communication starts, inspecting the packet payloads is generally
not interesting anymore. The default behavior is to disable the parts
of the detection engine and stream reassembly that relate to raw content
inspection.

The tls app-layer parser also had a crude option to affect this behavior:
set 'no-reassemble' to true went much further than the default behavior.
It disabled the TCP reassembly on the flow completely, disabled all
inspection on the flow and enabled bypass if available.

This patch adds a new option: full inspection. This continues to treat
a TLS session as any other, so without any limits to inspection.

The new option is implemented in a new config option 'encrypt-handling',
that replaces 'no-reassemble'. The new option has 3 values:
'default', 'full' and 'bypass'. Default is the current default behavior,
'bypass' is the current 'no-reassemble = true' behavior and 'full'
is the new full inspection mode.

detect/stream_size: code cleanups

detect/stream_size: apply rule to packets & stream

The use of stream_size in combination with raw content matches is an
indication that the rule needs to be evaluated per packet, not just
per reassembled stream chunk.

kerberos: minor doc updates, add author

dhcp: add author

dhcp: update user guide

dhcp: add dhcp app-layer rules file

rust/dhcp: Rust based DHCP decoder and logger.

This is a DHCP decoder and logger written in Rust. Unlike most
parsers, this one is stateless so responses are not matched
up to requests by Suricata. However, the output does contain
enough fields to match them up in post-processing.

Rules are included to alert of malformed or truncated options.

rust: a Rust ConfNode wrapper.

A Rust wrapper around the C ConfNode object. Currenlty only exposes
ConfGetChildValueBool and ConfGetChildValue.

eve: check if enabled before attempting to setup

Before setting up a sub eve-logger, check that it is enabled. This
allows us to set "enabled: no" for loggers that are not registered
with the system without generating an error. An example of this
is loggers that are only available with Rust.

rust/app-layer: macros to export de_state functions

These macros generate the extern "C" functions for transactions
structs that need provide functions for setting and getting
the de_state. The idea is to provide macros do avoid code
duplication and make it simpler to create an app-layer.

A trait would be the correct solution, but it doesn't look like
you can use traits to export extern "C" functions.

rust: add get_tx_iterator to parser registration

app-layer-register: add GetTxIterator

Add a field to set the GetTxIterator function to the AppLayerParser
registration struct.

app-layer-detect-proto: remove unnecessary gotos

Kerberos 5: properly handle TCP buffering

Document Kerberos 5 parsing events

Add krb5_err_code detection keyword

Add krb5_cname and krb5_sname detection keywords

Add krb5_msg_type detection keyword

Kerberos 5: rename weak crypto to weak encryption, and log it

Add event rules for Kerberos 5

Kerberos 5: pretty-print error code when logging

Log Kerberos 5 errors

Kerberos 5: add support for TCP as well

Kerberos: check version in probing function

Add logger for Kerberos 5 metadata

Add Kerberos 5 application layer

util-random: fix detection of getrandom failure

util-random: workaround getrandom unavailability

getrandom syscall availability is detected at runtime. So it is
possible that the build is done on a box that supports it but
the run is done on a system with no availability. So a workaround
solution is needed to fix this case.

Also we have seen some issue in docker environment where the build
is detecting getrandom but where it does not work at runtime.

For both reasons, the code is updated to have a call to a fallback
function if ever the getrandom call returns that the syscall is
not available.

rust: cargo fixes for out of tree build

python: fixes for out of tree build

Autoconf/automake and python setup.py don't play that well
together with out of tree builds.

Makes suricatasc not an autoconf input file, instead use the
defaults module that is already being created.

In the case of an out of tree build, copy the generated defaults.py
to the build directory manually.

doc: spelling mistakes in various sections of the user guide

Update ntp-parser to 0.2.0

eve/json/xff - remove check for flow being NULL.

Fix Coverity issue:
** CID 1435535:  Null pointer dereferences  (REVERSE_INULL)
/src/output-json-file.c: 212 in JsonBuildFileInfoRecord()

Where we check a variable for being NULL, when all paths to the
code show that it can't be NULL.

htp: cleanup and fix test

http: add tests for header folding

To test for https://github.com/OISF/libhtp/issues/159

http: clean up unittest

pcap-log: don't divide by 0 on no traffic

eve/alert: use eve-level xff config by default

The alert section can still have an xff configuration which
will take priority over the eve level xff config.

eve/alert: separate xff and metadata configuration

Put xff setup and metadata setup into their own
functions.

qa/coccinelle: allow to run from non git directory

For example, when I put the contents of a git worktree into
a Docker image for a test build .git will not be a directory
causing the run_check.sh script to fail.

eve/files: use eve-level xff config by default

The files section can still have an xff configuration which
will take priority over the eve level xff config.

eve/http: use eve-level xff config by default

The http section can still have an xff configuration which
will take priority over the eve level xff config.

eve: use eve-level xff configuration

If an "xff" configuration section exists on the eve object,
parse and save it for child loggers to use.

xff: HttpXFFGetCfg - allow conf to be NULL

The code fully handles conf being NULL, and we have other functions
where conf can be NULL.

xff: Use XFF configuration in eve and filestore

XFF configuration is already set in app-layer-htp-xff, and in
output-json-alert. Extending XFF configuration to files and HTTP allow
to get the same behavior as for alerts.

Extend the configuration of filestore json to let filestore metafile
dump be aware of xff. This is available only if write-fileinfo is set
to yes and file-store version is 2.

Fix segfault when the protocol is anything other than HTTP

When a file is transferred over anything other than HTTP, the previously hard-coded HTTP protocol would trigger a non-existent index into htp_list_array_get(), causing a segfault. This patch mimics the logic in detect-lua-extensions.c.

detect-tls-cert-fingerprint: fix typo in unittest

detect-tls-cert-fingerprint: fix failing unittest

Fix unittest that failed with the content validation callback.

detect-tls-ja3-hash: add setup callback to lowercase content

Add setup callback that lowercase the content that follows 'ja3_hash'.

detect-tls-ja3-hash: add warning if nocase is used

detect-tls-cert-serial: add warning if nocase is used

detect-tls-cert-fingerprint: add warning if nocase is used

detect-tls-ja3-hash: add content validation callback

Validate that the content that follows the 'ja3_hash' keyword has
the correct length.

detect-tls-cert-fingerprint: add setup callback to lowercase content

Add setup callback that lowercase the content that follows
'tls_cert_fingerprint'.

detect-tls-cert-fingerprint: add content validation callback

Validate that the content that follows the 'tls_cert_fingerprint'
keyword is on the correct form and has the correct length.

detect-tls-cert-serial: add setup callback to uppercase content

Add setup callback that uppercase the content that follows
'tls_cert_serial'.

detect-engine: add DetectEngineCtx to setup callback function

Add detect engine context as variable to setup callback function
in 'DetectBufferTypeRegisterSetupCallback'.

detect-tls-cert-serial: add content validation callback

Validate that the content that follows the 'tls_cert_serial' keyword
is on the correct form. If it's longer than two bytes it should be
separated by colons.

Add info about pcap log compression to user guide

configure: Show installation info for liblz4 if not found