WIP

selection: further NSNXAttack mitigation and fix tests

fixup! fixup! selection: support serve_stale module

fixup! tests: replace cache_overflow test, fix its config file

mitigate NXNSAttack protocol vulnerability for wildcards in victim zone

Attacker might generate fake NS records pointing to victim's DNS zone.
If the zone contains wildcard the attacker might force us into packet
exchange with a (lame) DNS server on that IP address.

We now limit number of consecuctive failures and kill whole request if
limit is exceeded.

tests: replace cache_overflow test, fix its config file

fixup! selection: support serve_stale module

WIP: broken Deckard tests turned off

tests: turn off IPv6 where neccesary

deckard: update to WIP branch

selection: turn on SAFEMODE on FORMERROR

selection: retry after DNSSEC fail

Some other server might not have bogus signatures.

selection: properly check for cyclic NS dependencies

This is kind of done in ns_resolve_addr as well, but we need this
information *before* making the choice.

resolve.c: reintroduce reset of flags.AWAIT_IPV{4,6} after resolution

I deleted it by accident as it was hidden in some older nsrep function.

selection: avoid chicken and egg problem when resolving . DS

iterate.c: be parent-centric in NS name resolution

When qry->flags.NONAUTH is true (we are resolving a NS name) end the
resolution once a answer is found even in glue.

Previous state lead to a weird behaviour where some IPv4 only tests in
Deckard (namely `iter_pcdiff.rpl`) were failing with IPv6 turned off.

This was due to the resolvers' internal preference towards AAAA records
for NS names. With IPv6 networking on, NS name resolution was first done
for AAAA record and the glue (containing A record for the NS name in
question) from parent zone was in to cache.

As the AAAA resolution failed (there is no AAAA for this NS name), A was
quried next and was satisfied from cache.

With IPv6 off, there is no query for the AAAA record, so no A record
from glue gets put in to the cache. A record is resolved first,
resolution ignores the glue in parent zone and continue to the child
zone which might be (and in the case of `iter_pcdiff.rpl` intentionally
is) broken.

WIP: always explore

Make Deckard go BOOM 🤯

fixup! selection_iter: treat resolving A and AAAA records for NS names equally

fixup! selection: readd CNAME error handling

fixup! selection_iter: treat resolving A and AAAA records for NS names equally

selection: readd CNAME error handling

fixup! selection_iter: treat resolving A and AAAA records for NS names equally

selection_iter: treat resolving A and AAAA records for NS names equally

Before, there was some bias towards resolving AAAA records first and
resolving A records only when IPv6 is broken or not available.

selection: support serve_stale module

selection: set default timeout to 800 ms

This is pretty much equivalent to the state before rewrite.

fixup! selection: try to resolve NS addr instead of choosing the same server

fixup! attempt at removing cycles and leaks in the async resolution

selection: try to resolve NS addr instead of choosing the same server

fixup! attempt at removing cycles and leaks in the async resolution

selection: don't query asynchronously, as it creates problems

I can't see a simple way to prevent cycles.
Also, there were some weird memory leaks caused by it.

attempt at removing cycles and leaks in the async resolution

selection: asynchronously resolve NS name with each selection

selection: remove per server error limit

It was causing too much trouble as we are counting timeouts as errors.
Servers that timeouted twice were removed from the choice forever
causing the resolution to get stuck.

selection: limit backing of the timeout

fixup! format: convert to using tabs in new files

logging: report NS resolution more clearly

wip: more docs

fixup! format: convert to using tabs in new files

fixup! selection: don't include servers over error limit in selection

selection: switch to TCP on truncated

selection: don't include servers over error limit in selection

WIP: timeout tweaks

Set retries to 10 and static forwarding timeout to 2000 ms.

wip: doc

fixup! format: convert to using tabs in new files

fixup! first buildable version of server selection rewrite

selection: limit timeout from above and edit the test accordingly

selection: set default timeout to 400 ms

This lowers number of timeouts on unknown zones.

selection: support custom port when forwarding

format: convert to using tabs in new files

selection_iter: only update state for ;valid addresses

selection: no need to track current zonecut in iter_local_state

selection: rename *_state_init to *_state_alloc

selection: fix reporting of deduplicated packet

selection: fix TLS forwarding

Revert "WIP: change scan-build error number due to error in stats"

This reverts commit e9ba1cd4826942f2ef4b2f326c0a8d7bc5032f24.

fixup! fix various mistakes found by static analysis

doc: rename nsrep to selection

WIP: change scan-build error number due to error in stats

fix various mistakes found by static analysis

selection: also cache timeouts as part of the global cache

selection: shuffle before choosing

this ensures fair distribution of queries after resolver start
e.g. in priming

selection: fix race condition when updating rtt cache

selection: exponential back off after timeout

nsrep: count timeouts per query

first buildable version of server selection rewrite

Merge branch '251-warn-if-static-unmanaged-key-is-used' into 'master'

Resolve "warn if static (unmanaged) key is used"

Closes #251

See merge request knot/knot-resolver!1051

modules/ta_update: improve warning message

modules/ta_update nitpick: don't call os.time() again

tests: replace the deprecated -f parameter

modules/ta_update: warn if there are differences between statically configured keys and upstream

ta_update: rfc5011 test: fix knotd startup

ta_update: rfc5011 test: removing the missing -r parameter for dnssec-tools

Merge branch 'doh-module-c' into 'master'

doh2: C implementation of DoH using nghttp2

Closes #600

See merge request knot/knot-resolver!997

daemon/http: fix double-free on some pkt send failures

When http_write() returns non-zero, worker_submit() performs the task
cleanup and calling on_write() callback only causes double free.

doc: update doh/doh2 documentation

distro/*: update module-http packaging description

daemon: add deprecation warning for old DoH implementation

daemon/http: document unsupported interleaving DATA

daemon/http: replace strchrnul for mac os compatibility

strchrnul() is a GNU extension that is not available on Mac OS.

daemon/http: log connection errors to verbose

luacheck: comment out unused code and variables

tests/config: doh2 - use tabs for indentation

tests/config: modify doh tests for doh2

Test only supported test-cases. Extend list of lua dependencies
for config tests.

tests/config: import tests from lua-http doh

daemon/http: make sure uv_handle is always initialized

It is later closed in endpoint_close(), which would fail with assert if
not initialized (e.g. when compiled without nghttp2 support and
attempting to use doh2 kind).

daemon: make nghttp2 optional

daemon/http: remove plain HTTP implementation artifacts

contrib/base64: sync with Knot DNS

distro/tests: test_doh2 run curl test only when needed

distro/tests: add tests for new DoH implementation

* one test unsing curl and sha256sum (get_url can't do HTTP/2)
* one test using kdig when correct version is present

distro: add new dependency: libnghttp2

This is needed by new DoH implementation.

daemon/io: use MANDATORY_APLN only with new gnutls

This is only needed to fail early during the handshake, if protocol
negotiation doesn't succeed. With older GnuTLS, if there's a protocol
mismatch, the data won't be understood and the connection will close
later on.

Mandatory ALPN doesn't affect clients that don't use the ALPN extension.

daemon/bindings: assign doh2 kind in net.list()

Dockerfile: add nghttp2 dependency

daemon/http: make lint happy

daemon/worker: simplify condition

daemon: decrease write errors severity in log

daemon/worker: expose number of write errors

daemon/http: improve handling of incomplete streams

daemon/worker: ensure ignored queries pop from http stream id queue