rust/nfs/files: no longer Option/Box

rust/nfs: move files into tx type data

rust/nfs: add more record types

rust/nfs: NFSv3 parser, logger and detection

rust: bindings: improve generator script

rust/core: add file tx API call

rust: filetracker API

Initial version of a filetracker API that depends on the filecontainer
and wraps around the Suricata File API in C.

The API expects chunk based transfers where chunks can be out of order.

rust: filecontainer API

Wrapper around Suricata's File and FileContainer API. Built around
assumption that a rust owned structure will have a
'SuricataFileContainer' member that is managed by the C-side of
things.

rust/json: expose json_boolean

rust: dns: add log filtering on rrtype

While the filtering is still configured in C, the filtering
flags are passed into Rust so it can determine if a record
should be logged or not.

rust: use LoggerFlags type to track logged state

rust: lua support for DNS based Rust

Uses Rust wrappers around Lua to populate Lua
data structures.

rust: lua wrapper

Rust wrapper for working with lua state.

rust: DNS app-layer.

A DNS application layer in Rust. This is different than the
C based one, as it is partially stateless by not matching
up responses to replies.

rust: dns: nom DNS parsers

rust: wrapper around C logging, and "context"

Where the context is a struct passed from C with pointers
to all the functions that may be called.

Instead of referencing C functions directly, wrap them
in function pointers so pure Rust unit tests can still run.

rust: generate headers as part of build

rust: c header generator

rust: add libjansson wrapper for rust

rust: example of how an app-layer may be initialized

Also shows basic usage of the configuration API from Rust.

rust: stub out configuration access functions

rust: stub out logging from rust

travis: enable a rust build

rust: hook rust into the build

Rust is currently optional, use the --enable-rust configure
argument to enable Rust.

By default Rust will be built in release mode. If debug is enabled
then it will be built in debug mode.

On make dist, "cargo vendor" will be run to make a local copy
of Rust dependencies for the distribution archive file.

Add autoconf checks to test for the vendored source, and if it
exists setup the build to use the vendored code instead of
fetching it from the network.

Also, as Cargo requires semantic versioning, the Suricata version
had to change from 4.0dev to 4.0.0-dev.

rust: add rust skeleton tree

stream: suppress GAP notice message

netmap: minor output cleanup

stream: minor output cleanup

flow-hash: optimize to avoid branch misses

Profiling showed a lot of branch misses in flow hashing. Restructure
code to avoid branching.

dns: accept gaps in TCP DNS

On gap notification a flag is set, on the next call the input
data is reprobed to make sure it can be processed.

app-layer: notify parsers of gaps if enabled

A parser can now set a flag that will tell the application
layer that it is capable of handling gaps. If enabled, and a
gap occurs, the app-layer needs to be prepared to accept
input that is NULL with a length, where the length is the
number of bytes lost. It is up to the app-layer to
determine if it can sync up with the input data again.

stream/async: more liberal RST acceptance

stream/async: improvements for IPS

Initialize midstream with async if enabled. Unset async on seeing
bidirectional traffic.

If only async-oneside is enabled, set ASYNC flag on session creation
when receiving a SYN packet.

Let last_ack stay in sync with next_seq so that various checks work
better.

output/streaming: fixes and redo tcp logging

Fix HTTP body logging.

Redo TCP data logging based on the streaming API.

stream: introduce optional 'log' progress tracker

For logging streaming TCP data so far the individual segments where
used. However since the last big stream changes, the segments are
no longer the proper place for this. Segments can now have overlaps
etc.

This patch introduces a new tracker. Next to the existing 'app' and
'raw' trackers, the new tracker is 'log'. When the TCP logging is
used, a flag in the config is set and the log tracker is used to
determine how much of the stream window can be moved.

streaming/lua: add direction indication to streamer

Call SCStreamingBuffer as follows:

    data, sb_open, sb_close, sb_ts, sb_tc = SCStreamingBuffer()

sb_ts and sb_tc are bools indicating the direction of the data.

luajit: cleanup states before return to pool

streaming: small code cleanup

lua/streaming: fix http body logging

flow-worker: improve no-flow case

detect-dns-query: use unit test macros

detect/file: cleanups

TX id is enfored in the engine, so the keywords don't need to.

Unify detect file engines.

rules: add missing classtypes for event.rules

output-tx: small cleanups and scan-build suppression

profiling: fix const compiler warnings

unix socket: improve runmode handling

Improve output of unix mode in --list-runmodes

Honor the runmode commandline setting. Supported are 'single'
and 'autofp', with the latter still the default.

unix-socket: fix minor memleak

log-tlsstore: fix error handling

In case of realloc error, the length of the encoding buffer was not
reset and this could result in trying to write to NULL pointer.

doc: rephrase nocase placement explanation

flow: enforce 51 bits id globally

lua: add SCFlowId for getting the flow id

bug 2113: fix live modes

dns: fix log filtering

Previously only a subset of the records could be selected
in custom. Now allow any to be selected.

stream: single GAP check

Move all GAP checks into CheckGap. Remove seg_list based check.
Also remove seg_list == NULL check to make sure the Gap check is
done on an empty list as well.

Improve next_seq < last_ack check, but add data beyond gap check.

doc: fix doc links for http keywords

doc: flowints formatting cleanup

doc: move parts out of snort difference doc

Move generic keyword descriptions to the keyword documentation.

doc: removing (replaced) snort-compatibility.rst

snort-compatibility.rst replaced by differences-from-snort.rst

doc: replacing snort-compatibility link

The snort-compatibility.rst document is being replaced by
differences-from-snort.rst. This commit updates the link.

doc: overhaul of the snort-compatibility document

This is intended to replace the existing 'snort-compatibility.rst'
document.
Based on "The Suricata Rule Writing Guide for The Snort Expert"
2016 SuriCon talk.

bug 2113: unix-socket start up race

app-layer: optimize many-tx case

output: tx logging optimizations

tests: update tests for app-layer changes

app-layer API optimizations and cleanups

file: fix pruning for parallel files

Allow pruning of random files, not just list head.

file: fix storing parallel files

When looping available files 'flags' misuse would lead to all files
being closed after the first close.

This patch separates per file and per call flags.

file: update loops to account for parallel files

file: introduce per file 'track id'

Some protocols transfer multiple files in parallel. To support this add
a 'track id' to the API. This track id is set by the protocol parser. It
will use this id to indicate what file in the FileContainer it wants to
act on.

file-store: small cleanup

file: clarify file store id name

flow: counters for total number of flows

flow.tcp
flow.udp
flow.icmpv4
flow.icmpv6

dnp3: in template, include files own headers

To deal with -Wmissing-prototypes as added in
ab1200fbd7fd4d3e0fe097fab3b3bcfefaba7e2e

Note: Change was already applied to source files, this just
updates the generation.

pfring: compiler warning fixes

lua: extend SCFlowAppLayerProto

Change SCFlowAppLayerProto to return 5 values:
<alproto> <alproto_ts> <alproto_tc> <alproto_orig> <alproto_expect>:

alproto: detected protocol
alproto_ts: detected protocol in toserver direction
alproto_tc: detected protocol in toclient direction
alproto_orig: pre-change/upgrade protocol
alproto_expected: expected protocol in change/upgrade

Orig and expect are used when changing and upgrading protocols. In a
SMTP STARTTLS case, orig would normally be set to "smtp" and expect
to "tls".

eve.flow: log original and expected app_protocols

Log protocols if they are available.

nfq: don't try to verdict detect/log flush pkts

connect/starttls: handle detection corner cases

When switching protocol from http to tls the following corner case
was observed:

 pkt 6, TC "200 connection established"
 pkt 7, TS acks pkt 6 + adds "client hello"
 pkt 8 TC, acks pkt 7
 pkt 8 is where normally the detect on the 200 connection established
       would run however before detection runs the app-layer is called
       and it resets the state

So the issue is missed detection on the last data in the original
protocol before the switch.

Another case was:

TS ->    STARTTLS
TC ->    Ack "STARTTLS data"
         220
TS ->    Ack "220 data"
         Client Hello

In IDS mode, this made a rule that wanted to look at content:"STARTTLS"
in combination with the protocol SMTP 'alert smtp ... content:"STARTTLS";'
impossible. By the time the content would match, the protocol was already
switched.

This patch fixes this case by creating a 'Detect/Log Flush' packet in
both directions. This will force final inspection and logging of the
pre-upgrade protocol (SMTP in this example) before doing the final
switch.

app-layer: protocol change API

Add API calls to upgrade to TLS or to request a protocol change
without a specific protocol expectation.

If the HTTP CONNECT session includes a port on the url, use that to
look up the probing parser during protocol detection. Solves a
missed detection of a SSLv2 session that upgrades to TLSv1. SSLv2
relies on the probing parser which is limited to certain ports.

In case of STARTTLS in SMTP and FTP, the port is hardcoded to 443.

A new event APPLAYER_UNEXPECTED_PROTOCOL is set if there was a
mismatch.

app-layer: add decoder event for missing TLS after STARTTLS

app-layer-ftp: add STARTTLS support

app-layer-ftp: detect FTP alproto when using AUTH TLS

Try to detect FTP using the patterns '220 (' and 'FEAT', since 'USER '
and 'PASS ' are not sent in cleartext when using AUTH TLS.

output-json-tls: log 'from_proto' field

Log the original application level protocol when protocol have been
changed because of STARTTLS, HTTP CONNECT or similar.

app-layer-smtp: add STARTTLS support

app-layer-htp: add HTTP CONNECT support

proto-detect: add debug output

app-layer: support changing flow alproto

Support changing the application level protocol for a flow. This is
needed by STARTTLS and HTTP CONNECT to switch from the original
alproto to tls.

This commit allows a flag to be set 'FLOW_CHANGE_PROTO', which
triggers a new protocol detection on the next packet for a flow.

magic: fix compile warnings

nfq: remove obsolete and broken netfilterforwin support

isdataat: add test for leading space

nflog: compiler warning fix

compiler: more strict compiler warnings

Set flags by default:

    -Wmissing-prototypes
    -Wmissing-declarations
    -Wstrict-prototypes
    -Wwrite-strings
    -Wcast-align
    -Wbad-function-cast
    -Wformat-security
    -Wno-format-nonliteral
    -Wmissing-format-attribute
    -funsigned-char

Fix minor compiler warnings for these new flags on gcc and clang.

detect-parse: improve common parser

In preparation of turning input to keyword parsers to const add
options to the common rule parser to enforce and strip double
quotes and parse negation support.

At registration, the keyword can register 3 extra flags:

    SIGMATCH_QUOTES_MANDATORY: value to keyword must be quoted

    SIGMATCH_QUOTES_OPTIONAL: value to keyword may be quoted

    SIGMATCH_HANDLE_NEGATION: leading ! is parsed

In all cases leading spaces are removed. If the 'quote' flags are
set, the quotes are removed from the input as well.

detect: enforce isdataat:!1,relative earlier

The expression 'isdataat:!1,relative' is used to make sure a match
is at the end of a buffer quite often. This patch optimizes this case
for 'content' followed by the expression. It enforces it by setting
and 'ends with' flag on the content and then taking that flag into
account while doing the pattern match.

detect: more content inspection tests

detect: don't rescan when just distance is used

Content inspection optimization: when just distance is used without
within we don't need to search recursively.

E.g. content:"a"; content:"b"; distance:1; will scan the buffer for
'a' and when it finds 'a' it will scan the remainder for 'b'. Until
now, the failure to find 'b' would lead to looking for the next 'a'
and then for 'b' after that. However, we already inspected the
entire buffer for 'b', so we know this will fail.

detect: content-inspection tests

Add tests for the content inspection engine that count the number
of steps it takes to eval a rule.

detect: avoid needless recursive scanning

Don't recursively inspect a detect list if the recursion
doesn't increase chance of success.

detect: use BIT_U32 macro for content flags

debug: suppress notice message