der: don't overwrite errcode

If the code has already been set it is more detailed than the more
generic 'invalid object'.

suricata-update: bundle suricata update

Add autoconf/automake support for installing suricata-update
if found in the top level suricata-update.

conf: user-configurable umask setting

Make umask user-configurable by setting 'umask' in suricata.yaml.

DER parser: ensure errcode is set for every return path

DER parser: fix undefined behaviors and  add missing length tests

Fix several undefined behaviors, caused by possible use or read of
uninitialized memory.

stream-tcp: add counters for midstream pickups

If midstream pickups are enabled this will help in discovering how
many midstream pickups are being done by Suricata.

doc: add JA3 fields to the TLS logger documentation

eve: add JA3 fields to TLS JSON logger

Add JA3 object to TLS JSON logger (extended log).

doc: add documentation for Ja3GetString Lua function

lua: add Ja3GetString function

Add Ja3GetString() to return the content of the JA3 string buffer from the
TLS session.

Example:

  function init (args)
      local needs = {}
      needs["protocol"] = "tls"
      return needs
  end

  function setup (args)
      filename = SCLogPath() .. "/ja3_string.log"
      file = assert(io.open(filename, "a"))
  end

  function log (args)
      ja3_string = Ja3GetString()
      if ja3_string == nil then
          return
      end

      file:write(ja3_string .. "\n")
      file:flush()
  end

  function deinit (args)
      file:close()
  end

doc: add documentation for Ja3GetHash Lua function

lua: add Ja3GetHash function

Add Ja3GetHash() to return the content of the JA3 hash buffer from the
TLS session.

Example:

  function init (args)
      local needs = {}
      needs["protocol"] = "tls"
      return needs
  end

  function setup (args)
      filename = SCLogPath() .. "/ja3_hash.log"
      file = assert(io.open(filename, "a"))
  end

  function log (args)
      ja3_hash = Ja3GetHash()
      if ja3_hash == nil then
          return
      end

      file:write(ja3_hash .. "\n")
      file:flush()
  end

  function deinit (args)
      file:close()
  end

In the (useless) example above, each JA3 hash is logged to a log file.

doc: add documentation for ja3_string keyword

detect: add (mpm) keyword ja3_string

Match on JA3 string using ja3_string keyword, e.g:

alert tls any any -> any any (msg:"JA3 string test";
        ja3_string; content:"65-68-69-102"; sid:1;)

doc: add documentation for ja3_hash keyword

detect: add (mpm) keyword ja3_hash

Match on JA3 hash using ja3_hash keyword, e.g:

alert tls any any -> any any (msg:"JA3 hash test";
        ja3_hash;
        content:"e7eca2baf4458d095b7f45da28c16c34";
        sid:1;)

util-ja3: add function to check if JA3 is disabled

app-layer-ssl: generate JA3 fingerprints

Decode additional fields from the client hello packet and generate
JA3 fingerprints.

app-layer-ssl: split function into multiple smaller functions

Split 'TLSDecodeHandshakeHello' into smaller functions to make
it easier to read the code when the function grows in size.

smb: suppress notice messages

SMB: simplify code

SMB: use String::from_utf8_lossy in logging functions

SMB: use kerberos-parser to extract Real and PrincipalName

smb1: extract rename info from TRANS2

Exclude TRANS2 from generic TX lookup bypass.

smb1: add parsing for RENAME command

smb2: log renames

smb: if filename is missing, use '<unknown>'

rust/dns: default to eve log version 2 for rust

eve/dns/v2: support eve/dns v2 in rust

rust/json: expose more of jansson to rust

eve/dns-v2: only log responses for enabled types

This changes the logic a bit for v2, checking the rrtype of the
query to see if the response should be logged.

eve/dns-v2: log authorities as a list

Log the authorities just like the answers, as a list under
the authorities key.

doc: introduce dns compact logging

output-json-alert: add dns info

This changes LogQuery and LogAnswer functions
returning a json object instead of writing it in a log file.
In this way it's possible to reuse them to add dns info
into an alert.

The following is an alert record with dns:

{
  "timestamp": "2017-07-31T15:01:17.885281+0200",
  "event_type": "alert",
  "src_ip": "8.8.8.8",
  ...
  "dns": {
    "query": [
      {
        "type": "query",
        "id": 25394,
        "rrname": "notifications.google.com",
        "rrtype": "A",
        "tx_id": 0
      }
    ],
    "answer": {
      "type": "answer",
      "id": 25394,
      "rcode": "NOERROR",
      "answers": [
        {
          "rrname": "notifications.google.com",
          "rrtype": "CNAME",
          "ttl": 3599,
          "rdata": "plus.l.google.com"
        },
        {
          "rrname": "plus.l.google.com",
          "rrtype": "A",
          "ttl": 299,
          "rdata": "216.58.205.174"
        }
      ]
    }
  }
}

output-json-dns: add json logging functions

This adds some public functions needed to add
dns information when an alert is logged.

output-json-dns: add new output formats for v2

This adds two new output formats that permits to reduce
the number of line logged for a dns answer because
actually an event is logged for each answer.
With this patch, only an event that contains all the answers
is logged.

The formats are named 'detailed' and 'grouped'.

The first format provides a list of answers with
the following fields:
- rrname
- rrdata
- ttl
- rdata

The second format provides a list of record data grouped
by their type.

The output below is an example of the formats:

{
  "timestamp": "2017-11-29T10:27:18.148282+0100",
  "flow_id": 268864910185905,
  "in_iface": "wlp2s0",
  "event_type": "dns",
  "src_ip": "192.168.1.254",
  "src_port": 53,
  "dest_ip": "192.168.1.176",
  "dest_port": 52609,
  "proto": "UDP",
  "dns": {
    "type": "answer",
    "id": 3654,
    "rcode": "NOERROR",
    "answers": [
      {
        "rrname": "wordpress.org",
        "rrtype": "A",
        "ttl": 544,
        "rdata": "66.155.40.249"
      },
      {
        "rrname": "wordpress.org",
        "rrtype": "A",
        "ttl": 544,
        "rdata": "66.155.40.250"
      }
    ],
    "grouped": {
      "A": [
        "66.155.40.249",
        "66.155.40.250"
      ]
    }
  }
}

output-json-dns: add new configuration

This patch adds a new configuration for dns,
introducing a "version" that permits to switch
between the new and old format to provide
backward compatibility.

The new configuration is made up of these new fields:
- version
- requests (query)
- response (answer)
- types (custom)

modbus: Support Unit Identifier

When destination IP address does not suffice to uniquely identify
the Modbus/TCP device.

Some Modbus/TCP devices act as gateways to other Modbus/TCP devices
that are behind this gateways.

smb: share can't be <share_root>

smb1: add OPEN_ANDX command name for logging

smb2: don't log/track each READ/WRITE/etc

smb: log file FID/GUID as fuid

smb: add smb records to fileinfo

smb1: improve non nt-status handling

Support SRV error, with a couple of codes.
Rename statux field to status_code.

smb1: ignore tree_id in session setup

smb: improve nbss/smb record detection

rust/smb: implement minimal record parsing in probing

rust/smb: improve protocol detection

Register both pattern based detection and probing parsers.

smb: add smb to default eve-log config

smb2: break out ioctl handling

smb2: parse async records

smb2: add ioctl transactions to log the funcs

smb2: map ioctl funcs to names

List is based on Wireshark's list.

smb: use formal MS names for disposition

smb: disable debug output

smb1: extract server guid from negotiate

smb2: log client and server guid from negotiate

smb2: log share type

smb: log create empty filename as '<share_root>' like Bro does

smb1: log create 'service' fields

smb1: use generic string parsing for trans

smb1: generic smb string parse func

smb1: more exact tree connect record parsing

smb: move common parsing funcs into own file

smb: make string parsing functions public

smb1: set event on empty/malformed dialect

smb: rename file to filename in output

smb1: parse and log timestamps in CREATE

smb2: parse and log timestamps in CREATE

smb1: disable 'generic tx's for common commands

Don't create a generic TX for each READ, WRITE, TRANS, TRANS2,
except if they cause events to trigger.

smb: generic event per trans/read/write for tx events

smb: fix event handling when no tx is available

smb: small cleanups, fixes and optimizations

smb: update to der-parser 0.5.1

smb: remove unused dialects from state

smb1: minor debug improvment

smb: redo gap catch up handling

smb1: parser cleanups

smb: cleaner server component parsing

smb2: improve write error handling

smb3: parse transform records

smb2: add missing commands and improve ioctl err handling

smb1: improve error handling

smb: add status

smb1: implement WRITE_AND_CLOSE

smb1: locking andx may have no response

smb/nbss: work around bad traffic

smb: session setup improvements

Improve ntlmssp version extraction and logging, make its data structures
optional. Extract native os/lm from smb1 ssn setup.

Move session setup handling into their own files.

Only log auth data for the session setup tx.

rust/smb: initial support

Implement SMB app-layer parser for SMB1/2/3. Features:
- file extraction
- eve logging
- existing dce keyword support
- smb_share/smb_named_pipe keyword support (stickybuffers)
- auth meta data extraction (ntlmssp, kerberos5)

eve: log pcap filename

detect: fix tx iterator logic in detect

The 'tx_id' variable was used to be passed into the IterFunc as a
minumum tx to return. The IterFunc could then return either the tx
for that id, or a later one if that turned out to be the first available
tx.

The tx_id however, was still used for some things as if it was the
current tx id. Most importantly for setting the tx id for alert
ammending. So this could lead to alerts with missing or wrong
applayer records.

mingw: fix compile error

output/lua: better lua output setup error handling

If suricata was started with --init-errors-fatal and an error occured
during setup of lua output (like if lua scripts configured in the conf file
don't exist or are not readable) suricata continued, which did not reflect
"init errors fatal" very well.

This fix makes the suricata initialization abort and send an error message
in such cases.

For details see:
https://redmine.openinfosecfoundation.org/issues/1503

output/lua: remove unnecessary detect.h include

output-lua.c contained an include of detect.h.

Since we don't (and shouldn't) call any functions from detect.c in output-lua.c
and such coupling is generally unwanted this patch removes that include.

Rust: add 'debug' feature

The 'debug' feature is enabled if suricata was configured with the
--enabled-debug' flag.
If enabled, the SCLogDebug format and calls the logging function as
usual. Otherwise, this macro is a no-op (similarly to the C code).

profiling: suppress debug statements

prelude: add protocol information through JSON

unified2: fix xff extra-data output (Bug #2305)

In extra-data mode, suricata does not output xff data without
undocumented conditions (including enabling packet output). This
behaviour has been fixed to remove the hidden requirements. Fix
included removing previous xff data output implementation and adding a
new function for outputting xff that is called after outputting each
event.

IPv6 XFF entries were also being recorded incorrectly as if they were
IPv4 and this has been fixed.

doc: update eve json output for DNS and HTTP

der/afl: free data during fuzzing