tests: move pcaps to tests where they are used

Following removal of tests only used in 6, some directories
were left with only a pcap, that got used by other tests.

Found with command
for pcap in $(find . -name *.pcap); do if ! test -e "$(dirname $pcap)/test.yaml"; then echo "$(dirname $pcap)"; fi; done

tests: update ips-state-1 test

This test indicated that there were FP drops for HTTP transactions,
leading the `http` events check to fail. This is no longer the case.

flow.action is still not set to drop for tls.

README/help: add info on IPS mode tests creation

It is possible to create a test that runs in IPS mode by just adding ips
to its name. But that is not documented. This will might not work when
using the createst script, though, as when the script runs the test for
the first time to create the `test.yaml` checks, the test-name is not
taken into consideration (therefore, the checks are valid for IDS mode).

Related to
Task #7039

README: keep help text up-to-date w/ actual help

There were discrepancies between the help text shown by the createst
script and the version shown in the README file.

I've kept the bit longer explanation for some of the options where it
feels they're not so straightforward in meaning.

tests/reference; Tests for reference inclusion

Issue: 4974

Positive and negative tests for reference inclusion in alerts.

Additionally, reference-04 tests that a scheme provided with
a reference is used in place of the key.

rules/test: add app-layer-protocol negated test

To complement bug-7241 tests.

tests: add test for issue 7241/7242 for 7

Add test that works with Suricata 7.

http2: test all frames types

http/gap: fix check for payload_length

Change to suricata.yaml illustrates bug 7213

There is not yet a valid http1.response frame for the second request
after the gap

http2: add test for frames

Ticket: 5743

tests: add test for 7187

tls/ja3: backport test with duplicate handshake

Ticket: 6634

tests: add test for issue 7241

Test for 8+ only.

tls/ja3: adds test with duplicate handshake

Ticket: 6634

pgsql: update bug-6983 tests

Add app-layer fields to pgsql alerts.

Related to
Bug #7066

tests: remove suricata 6 specific tests

Some tests directories remain as one or more exists tests link to these
pcaps. Just leaving until we have a strategy like a hash based pcap repo
or something else.

github-ci: remove 6.0.x builds

Suricata 6.0 is now EOL.

ldap: add tests for udp and frames

rfb: adds test for rules with secresult being an integer keyword

Ticket: 6723

rfb: convert unit test to SV

Ticket: 7178

detect: test prefilter auto mode

Ticket: 6278

detect: adds check for decode-event with prefilter

Ticket: 6728

detect: adds check for stream-event with prefilter

Ticket: 6728

ssh: adds test for frames

Ticket: 5734

doh: adds test for dns over http2 with post

Ticket: 5773

dns: adds test for dns over http2

Ticket: 5773

ldap: add tests

smtp: adds test for invalid replies

Ticket: 1125

smtp/ftp: test protocol detection in both directions

Ticket: 1125

imap: add test for protocol detection

ticket #2886

Signed-off-by: mmmaatuq <mahmoudmatook.mm@gmail.com>

ssh: deprecate ssh.softwareversion keyword

Ticket: 2377

tests: relax mqtt warning check

To account for changing error message in Suricata.

applayer: add tests for ticket 7044

tests: skip dns tests that fail on master

tests/dns: add tests for task 7018

Also related to
Bug #7004

dns-udp-double-request-response: v2 and v3 tests

dns-tcp-www-google-com: v2 and v3 tests

dns-tcp-ts-gap: update for v2 and v3 dns logging

dns-tcp-multirequest-buffer: v2 and v3 tests

dns-single-request: v2 and v3 tests

dns-incomplete: dns v2 and v3 tests

bug-990: dns v2 and v3 tests

As this is a DNS test move into dns/.

bug-856: dns v2 and v3 tests

Move into dns as this is a DNS test.

bug-1158: dns v2 and v3 tests

As this is a DNS test, also move into the dns/ folder.

dns-udp-null: v2 and v3 tests

dns-udp-junkrequest-first: v2 and v3 tests

decode-teredo-01: update for dns v3 logging

ethernet-eve: update for dns v3 logging

vxlan-decoder-03: v2 and v3 dns tests

dns-udp-eve-log-query-only: v2 and v3 tests

dns-udp-eve-log-answer-only: v2 and v3 tests

dns-udp-eve-log-srv: v2 and v3 tests

dns-udp-eve-log-aaaa-only: v2 and v3 tests

dns-udp-eve-log-mx-only: v2 and v3 tests

dns-udp-eve-dig: v2 and v3 tests

dns-udp-eve-txt: v2 and v3 tests

dns-udp-unsolicited-response: v2 and v3 tests

dns-z-bit: v2 and v3 tests

dns-invalid-opcode: v2 and v3 tests

run.py: allow tests to specify environment variables

dns-eve: v2 and v3 tests

dns-eve-log-https-only: v2 and v3 tests

tests: update dns checks for v3 format in alerts

mqtt: add tests for MQTT log limiting

tests: enable iprep isset test for 7

tests: support detect bypass udp test on 7

Ticket: 7054

backport to 7 test filestore-dont

Ticket: 6390

datasets-memcap-01: add os and arch requirements

tests: add tcp split handshake tests

eve-validator: use default-features in Cargo.toml

warning: `default_features` is deprecated in favor of `default-features` and will not work in the 2024 edition

tests: remove tests for versions less than 6

mqtt: requirement on version and not file

As the fle is planned to be moved to rust

datasets: add tests for string memcap

Ticket 3910

run.py: add option to check for architecture

run.py: add option to check for os

bypass: adds a test with a UDP flow

Ticket: 7053

tests: support alert pass tests on 7

tests: add threshold backoff tests

tests: add detection_filter tests for by_flow and by_src

tests: add global by_flow thresholding tests

tests: add threshold by_flow test

Ticket: #6822.

tests/transform: from_base64 test

Issue: 6487

Test cases for the from_base64 transform
- Case 01 tests RFC4648 (default) with various offsets
- Case 02 tests RFC2045 and verifies success and failure case
  (with other modes)
- Case 03 -- case 01 with fast_pattern associated with the
  post transform content.

output: adds checks for payload_length field

Ticket: 7098

dcerpc: check for app-layer metadata in alert

Ticket: 6090

Adds a test about filestore

That it does not store too many files

smtp: backport to 7 test smtp-to-comma

Ticket: 7060

tests: add tls alpn tests

tests: add stream_size prefilter tests

detect: move http uri unit tests to SV

Ticket: 3725

tests: iprep isset/isnotset test

tests/ja4: Enable ja4 tests for 7.0.6 and later

Issue: 7010

Enable the JA4 tests for Suricata 7.0.6 and later.

testa/ja4: Confirm config on auto-enable

Issue: 7010

Confirm that the config-level message is displayed when JA4 is enabled
due to rule usage.

tests: add test for alert-then-pass issue 5466

websocket: adds check for data frame

Ticket: 7051

enip: adds test for new enip keywords

Ticket: 3958

enip: adds test for frames

Ticket: 3598

enip: Add test for logger

enip: tests compatible with rust parser

smtp/mime: adds test for url extraction in base64 message

Ticket: 5185

tests: fix order of mac address in nfs test for 7

Ticket: 6690