submodules: synced deckard

tests: make sure the deckard submodules are checked

build: cleanup, no python deps

scripts: updated bootstrap script

travis: run tests in parallel

lib/nsrep: do not penalize name failures, no empty NSLIST leaders

if the NSLIST already has a candidate with addresses, never replace
current leader with an empty one. otherwise if the former leader address
was tried and failed, new empty leader would be blamed for this and
penalized

tests: use makefile from deckard, cleanup

build: travis cleanup

daemon/lua: doc cleanup, todname() call

policy has policy.todnames() for table of names

build: install resources as 0644

scripts: pip depends

scripts: updated bootstrap script

Merge branch 'deckard'

tests: clean up paths

tests: cleanup

tests: fixed deckard integration, doc, travis

Merge branch 'master' into deckard

lib/validate: fixed missing DS check when parent is signed, child not on same NS

refs #33

lib/iterate: scrub dnssec data from authority when not requested

refs #33

tests: integration tests with deckard

lib/zonecut: clear TA if its NS isn't cached

this fixes a bug when NS drops out of cache, but it's TA not,
so i.e. we end up with TA 'cz' and NS in '.', but we need the root TA

lib/resolve: root zone is always encloser

bad control flow, the zone cut should be checked for root, as the second
condition checks if SNAME is at/below cut so the outcome is the same for
root query

lib/zonecut: copy qname for cut lookup, as it may overlap replaced cut

modules/dns64: bad expectation of ffi.copy semantics

the copy doesn't take cdata length into account, but measures string len

refs #43

daemon/worker: poison contents of mempools on freelists

lib/cache: missing name check for kr_cache_rank_peek

refs #43

modules: avoid ffi.new in hotpath

this fixes a bug when a text-declared type wasn’t reused and LJ eventually segfaulted in ffi.new after a lot of redeclarations

build: set ARCH from CC, bump version to beta2

build: enable Go modules on amd64 only

the current Go doesn’t support c-shared on other architectures than amd64

modules: dns64 checks for records, all response status

fixes #42

lib: initialize null qsource for resolver-initiated queries

fixes #41

doc: grammar

lib/utils: clear rrcounts in packet recycle

modules: renumber module

this module allows to rewrite address ranges in answers to different address ranges specified in configuration

lib/nsrep: use other NS addresses as alternative

this allows daemon to try other NSs for fast retransmit if the best chosen NS doesn’t respond within time limit

daemon: fixed leaking TCP handles when timeouted

daemon: fast retransmit address selection

instead of single I/O request per step, the daemon now retries
all addresses in the selection with 300ms timeout between tries.
there are len(list) + len(list)/2 tries

the idea is to reduce latency when UDP request doesn't punch through,
or some NSs are overwhelmed/faulty

daemon/lua: pkt:clear(), pkt:question()

lib/iterate: always copy to final answer

RRs may be touched after resolution completion, this copies RR from
temporary per-recv buffer to answer, which is persistent for the whole
duration of request

modules/tinyweb: cleanup on exit

lib/daemon: address sanitizer annotated poisoning

if the library or daemon is compiled with address sanitizer, objects in
freelists are poisoned to detect use-after-recycle errors
it is not currently used in the library, as there are no freelists

daemon: fixed leak on resolve()

lib/dnssec: always check wildcard expansion proof

refs #33

doc: cleanup

Merge remote-tracking branch 'origin/stubmode'

modules/tinyweb: simplified without channels

lib: cleanup unused variable

daemon: cleanup rr scanning

daemon: use writemap to work around latency when busy

modules/tinyweb: added favicon

lib/rrcache: handle qname/cname traversal when it fails

lib/resolve: do not do root priming in hotpath

refs #16

daemon: fixed race condition when canceling one event multiple times

build: removed libknot vercheck, .pc fail with this

dnssec/signature: fixed cid#131821

dnssec/nsec3: fixed cid#131822 and cid#131820

doc: added known packaged dependencies (incomplete)

build: added pkg-config version requirements to Makefile

modules/policy+view: new policy.FORWARD(dst) and policy.all matching rule

this is Unbound's 'forward-zone' on steroids

lib/resolve: stub resolution with predefined address

the library is able to resolve query in stub mode (no referral chasing,
zone cut lookup) if asked to
validator turns off for stub queries, validating stub is NYI

lib/nsrep: force resolution with given NS address

lib/validate: fixed NODATA proof when synthesised from * ENT

thanks to Pieter Lexis and Peter van Dijk from PowerDNS for discovering this.

dnssec/nsec: removed a bunch of dead/cruft code, added comments

dnssec/nsec: fixed name non-existence check

the RFC4035 M < S < N stands if the S isn’t after the last name in the zone, this is indicated by M > N, proving that the next of the last name is the first name; if the S is after M, then it proves it’s non-existence

thanks to Pieter Lexis and Peter van Dijk from PowerDNS for discovering this!

daemon/lua: qry:resolved() and qry:final()

resolved() returns true if current query is resolved (i.e. authoritative)
final() returns true if current query is resolved and is not a subrequest (has no parent)

modules/dns64: introduced module

daemon/lua: kr_query_t.name() includes last root label

daemon/lua: str2ip conversion function

lib: request holds authority/additional RRs for finalization

as the libknot packet interface disallows out-of-order packet
writes, authority and additional records must be written after
the answer is complete; records in the rr arrays will be written to final answer during finalization

lib/cache: noted that rank is limited to 6 bits

modules/tinyweb: border thickness

modules/tinyweb: zoomable

modules/tinyweb: population quantile for bracketing

this yields much better contrast in this situation, where
one country overshadows the rest on a linear scale

modules/tinyweb: units, colouring

modules/tinyweb: feed exports country code as well

modules/tinyweb: added legend, fill bracketing, updated map visualization

lib/resolve: consider only distance between cut-nonterm

modules/tinyweb: improved axes on stats plot

modules/tinyweb: updated Epoch to 0.8.3 (bugfixes)

lib/resolve: minim=off when there is NODATA between cached target/cut

when resolver finds a zone cut from cache, it checks whether there is an empty non-terminal between target QNAME and cached zone cut.
this is indicated by presence of NODATA/NXDOMAIN in packet cache.
if it finds one, it turns off qname minimisation and continues,
this saves one query for empty non-term zones like ‘co.jp’

caveat: only direct child of the cut can be considered (e.g. ‘co.jp’ for ‘jp’), otherwise we would leak information to parent if the zone cut fell out of cache and NODATA existed

lib/cache: more granular control for rank check on insertion

for pktcache same or better rank is required (because it’s a direct answer)
for rrcache better rank is required (unless doing write-through)

for both cases, no cache rank check is needed when inserting secure data

security note: this mitigates possible non-auth NS hijacking

lib/zonecut: shuffle root NS list to lower a.root preference

reason: a root gives consistently unpredictable performance, which
we cannot take into consideration for the first start. j,k roots
moved to the front as they're everywhere and less loaded than a
swamped with requests from legacy tools

doc: modules/tinyweb

build: allow Go 1.5 (without .0)

iterator+rrcache: do not follow CNAME chains (if not DNSSEC-secured)

[1] shows an attack using spoofed CNAME targets to replace legitimate
entries in resolver cache by speeding up once-per-TTL attack opportunity

as a defense, the resolver almost always requeries CNAME targets and
doesn't store them in cache. the only exception is when the CNAME target
is within current authority, and the answer is DNSSEC-secured

thanks to Toshinori Maeno (@beyondDNS) for pointing this out [2]

[1]: https://tools.ietf.org/id/draft-weaver-dnsext-comprehensive-
resolver-00.html
[2]: https://moin.qmail.jp/DNS/KnotResolver/CNAMEpatch

doc: fixed correct README path

modules/tinyweb: added easing on the map contrast

modules/tinyweb: Go-based module with an embedded web interface

lib/utils: added convenience API for calling module props

daemon: register props even with just config

modules: support for modules in Go (needs golang 1.5+)

lib/validate: fixed DS proof check in some cases

when the DS NODATA was proved from a different authority

daemon/lua: use knot_pkt_section to work around ABI breakage at libknot 297a1c89

daemon: fixed default confval

build: report patchversion

Merge branch 'resumable-layers'

daemon: -c to set config file outside of rundir

modules/hints: generate PTR records as well

in case the address matches multiple names, the lexicographically first domain name is returned

meaning
\5host1\3com is after \5host1\2cz
\5host2 is after \5host1
\3aaa is after \2zz

daemon: precedence operators {‘<‘, ‘>’} for modules

daemon/engine: fixed serialization of nested tables