WIP40

WIP

wip: hopefully final deckard update 😏

selection: reintroduce KR_NS_TIMEOUT_RETRY_INTERVAL to avoid hammering dead servers

Revert "WIP: extra logging in rplan"

This reverts commit b87d61fc077d0b449e4a880316802d8ce5ea8054.

wip: update Deckard

selection: define ε using constants

selection: log appropriately

fixup! fixup! fixup! fixup! selection: refactor updating address state

fixup! WIP: document the new requirements on forwarding targets

WIP: document the new requirements on forwarding targets

fixup! fixup! fixup! selection: make forwarding API more foolproof

fixup! fixup! selection: make forwarding API more foolproof

fixup! selection: make forwarding API more foolproof

fixup! fixup! fixup! selection: refactor updating address state

Order is significant, like in proper C.

fixup! fixup! fixup! selection: refactor updating address state

fixup! fixup! selection: refactor updating address state

selection: make forwarding API more foolproof

fixup! selection: refactor updating address state

selection: refactor updating address state

avoid unnecesary trie iteration

fixup! selection: refactor the use of `update_name_state`

fixup! selection_forward: nit: rename variable

fixup! fixup! WIP: remove attempts of asynchronous resolution for good

selection_forward: nit: rename variable

fixup! WIP: remove attempts of asynchronous resolution for good

selection: comment the exploit option in `select_transport`

fixup! selection: avoided repeated indexing to choices array in select_transport

selection: avoided repeated indexing to choices array in select_transport

selection: comment on static timeout when forwarding

selection: refactor the use of `update_name_state`

selection: document `. DNSKEY` resolution

selection: document cache transaction usage

selection: rename internal `choose_transport` function

The name was the same as the one used in the server_selection structure.

fixup! selection: remove `success` function from API

fixup! fixup! selection: factor out local_state properly

fixup! selection: fix TCP logging

selection: fix TCP logging

We need to propagate the choices of TCP to `qry->flags.TCP` since it is
used in other parts of the resolver.

selection: remove `success` function from API

It was no-op anyways.

WIP: deckard update for mx_nic

selection: clarify backing off of the timeout

selection: comment on common feedback function

fixup! selection: factor out local_state properly

selection: factor out local_state properly

selection: treat TC bit over TCP as unrecoverable error for transport

selection: rename KR_SELECTION_TIMEOUT to KR_SELECTION_QUERY_TIMEOUT

selection: comment on possible race in update_rtt

selection: clarify choice_index in choose_transport

fixup! WIP: remove attempts of asynchronous resolution for good

WIP: remove attempts of asynchronous resolution for good

selection: clarify `type` field in struct `to_resolve`

fixup! readability: rename `transport::name` to `ns_name`

selection: comment out unused TCP connection information for now

docs: comment on the meaning of `generation` field in structures

docs: clarify where transport structure is allocated

readability: rename `transport::name` to `ns_name`

WIP: suggestions for lib/selection.h

WIP: suggestions for lib/selection.h

fixup! selection: limit backing of the timeout

fixup! selection: limit backing of the timeout

fixup! WIP: docs and cleanup

fixup! selection_iter: treat resolving A and AAAA records for NS names equally

fixup! first buildable version of server selection rewrite

fixup! first buildable version of server selection rewrite

fixup! first buildable version of server selection rewrite

fixup! first buildable version of server selection rewrite

WIP: deckard lidovky fix

fixup! mitigate NXNSAttack protocol vulnerability for wildcards in victim zone

selection: workarround for iter_ns_badip.rpl

fixup! fixup! fixup! WIP: docs and cleanup

fixup! fixup! WIP: docs and cleanup

iterate: log when rejecting a glue record because of network settings

fixup! lib/cache: fix tests to the new versions of selection and Deckard

WIP: deckard rebase

fixup! WIP: docs and cleanup

WIP: kres-gen fix

TODO: description

Revert "iterate.c: be parent-centric in NS name resolution"

This reverts commit 181423ae0eb906ebfbeb5b4aee29fa7044f582eb.

WIP: docs and cleanup

lib/cache: fix tests to the new versions of selection and Deckard

modules/ta_update: set rootns. as root NS name in tests

bogus_log: up the number of expected queries for . DNSKEY

Since DNSSEC fails are no longer hard-fails, the resolution
continues after such fail. In this case there no further options
so we get bounded by KR_CONSUME_FAIL_ROW_LIMIT at each of the 2
queries.

WIP

nsrep: partial fix for duplicated queries

Current pending query was ignored when checking pending list in rplan.

This does not remove all duplicies because we would have to check also
rplan->resolved list.

WIP: extra logging in rplan

selection: further NSNXAttack mitigation and fix tests

mitigate NXNSAttack protocol vulnerability for wildcards in victim zone

Attacker might generate fake NS records pointing to victim's DNS zone.
If the zone contains wildcard the attacker might force us into packet
exchange with a (lame) DNS server on that IP address.

We now limit number of consecuctive failures and kill whole request if
limit is exceeded.

tests: replace cache_overflow test, fix its config file

tests: turn off IPv6 where neccesary

selection: turn on SAFEMODE on FORMERROR

selection: retry after DNSSEC fail

Some other server might not have bogus signatures.

selection: properly check for cyclic NS dependencies

This is kind of done in ns_resolve_addr as well, but we need this
information *before* making the choice.

resolve.c: reintroduce reset of flags.AWAIT_IPV{4,6} after resolution

I deleted it by accident as it was hidden in some older nsrep function.

selection: avoid chicken and egg problem when resolving . DS

iterate.c: be parent-centric in NS name resolution

When qry->flags.NONAUTH is true (we are resolving a NS name) end the
resolution once a answer is found even in glue.

Previous state lead to a weird behaviour where some IPv4 only tests in
Deckard (namely `iter_pcdiff.rpl`) were failing with IPv6 turned off.

This was due to the resolvers' internal preference towards AAAA records
for NS names. With IPv6 networking on, NS name resolution was first done
for AAAA record and the glue (containing A record for the NS name in
question) from parent zone was in to cache.

As the AAAA resolution failed (there is no AAAA for this NS name), A was
quried next and was satisfied from cache.

With IPv6 off, there is no query for the AAAA record, so no A record
from glue gets put in to the cache. A record is resolved first,
resolution ignores the glue in parent zone and continue to the child
zone which might be (and in the case of `iter_pcdiff.rpl` intentionally
is) broken.

WIP: always explore

Make Deckard go BOOM 🤯

selection: readd CNAME error handling

selection_iter: treat resolving A and AAAA records for NS names equally

Before, there was some bias towards resolving AAAA records first and
resolving A records only when IPv6 is broken or not available.

selection: support serve_stale module

selection: set default timeout to 800 ms

This is pretty much equivalent to the state before rewrite.

selection: try to resolve NS addr instead of choosing the same server