Update Changelog to reflect changes between 1.2 and 1.2.1

Only force a pseudo packet inspection cycle for TCP streams in a state >= established.

Fix unified2 records generated based on reassembled stream data.

Update Changelog to reflect changes between 1.2rc1 and 1.2

Update app layer events for HTTP now that libhtp has fixes for some response errors.

Issue warning if libhtp version used is not up to date.

Enforce flow direction for http_raw_header sigs. Fix unittests that missed the flow direction.

Fix libhtp htp_tx_get_response_headers_raw 'detection' for bundled libhtp.

Update bundled libhtp to 0.2.7.

Allow log-pcap to use both absolute and relative sguil-base-dir settings when in 'sguil' mode.

Undo unintended changes to suricata.yaml.

Fix PathIsAbsolute function not dealing with CYGWIN. Handle absolute paths in logfile api.

Register HTTP logger at registration, not thread init.

Suppress ac-gfbs debug message being printed at info level.

Threading: do not keep a slots post_pq locked while processing the packets.

Fix flowbits sigmatch structure added to the match and post-match list, causing corruption of the prev ptr. This lead to an endless loop condition in the thresholding code. Thanks to Chris Wakelin for reporting the issue.

Fix pcap -i mode.

Make live worker runmode threads adhere to the 'detect' cpu affinity settings.

Fix pcap -i <ip>.

Indicate that the Suricata version used is a release or a git checkout.

Clean up default output. Use simpler output format for releases.

Assume offloading in use if 1/10th of the packets has a bad checksum.

Add missing Makefile.am files for rules/ and doc/ dir.

Fix checksum offloading auto detection typo: it should be 1/5th instead of 1/10th.

Make sure new rule and doc files are part of the dist.

Don't print error about missing git repo if building from tarball. Don't define REVISION in that case.

Update ChangeLog to reflect changes between 1.2beta1 and 1.2rc1.

Fix various minor clang/scan-build warnings.

Adapt signature ordering to new flowbits post-match handling.

Implement post match support for ip-only.

Let timing out flow use pseudo packets also if state is not fully closed.

Add post-match list, move flowbits set, etc functions to it. Move flowint set, etc functions to it as well.

Add export of wiki install docs to our doc/ dir.

Add reject support to live single, autofp and workers runmodes.

runmode: Add Reject to IPS worker mode.

Print elapsed time with millisecond precision.

Set DROP flag for reject action so in addition to sending the rst, in IPS mode also drop the offending packet.

Fix HTTP state and raw stream not being inspected at the same time. Adds an exception to transaction id handling for HTTP.

Trigger raw stream reassembly on receiving a full HTTP request or response.

Disable printing dreaded app layer error messages to the screen: app layer events are here to safe us.

Add http-events.rules with an example rule for each HTTP event.

Convert error logging for HTTP to use new app layer event API. Expose libhtp warnings to this as well.

Add check to invalidate signatures that inspect raw http headers in the to_client direction (response headers) if libhtp hasn't been patched yet. Also add hack to disable the test for unittests, many tests fail and we'll fix those ASAP.

Clean up configure check for htp_tx_get_response_headers_raw. Misc changes.

Enable http raw response header inspection only if libhtp supports raw response header buffering which should be available post 0.2.6

support http response raw header inspection + carry out hrhd mpm on both request/response headers + add unittests for the same

hhd unittests for response headers

carry out hhd mpm on both request/response headers

bug 389 - support http response header inspection + fix bug with stateful inspection for sigs that would have both request/response inpection

Add simple socket to gzip file PoC.

Set 'livedev' in pcap acquisition module for older libpcap version as well. Fixes a segv.

Add example smtp decoding events rules file.

Make sure that continued stateful detection only inspects sigs in the proper direction.

Add signature direction (flow:toserver/flow:toclient) as a signature flag.

Simplify detection loop. Inspect packet keywords before the state.

Rename app_layer_events to app-layer-events. Misc fixes/changes.

Allow flowint names to have dots in them.

Support for smtp decoder events

Support for app layer decoder events added + app_layer_event keyword added

Allow non-existing flowints to be incremented. A 'set' to 0 is implied in this case.

Clean up csum detection output, misc fixes.

config: Add explanation for checksum-checks options

pf-ring: add support for checksum verif mode

This patch adds support for checksum verification mode.
Supported mode are yes, no, auto and rx-only.

pcap: fix typo

pcap: add auto mode support

af-packet: fallback if 'kernel' mode is not supported

This patch adds a fallback to full checksum validation if 'kernel'
mode is not supported by the running kernel.

af-packet: auto mode support

Add per-interface counter for invalid checksum.

This patch adds a per-device counter for invalid checksum as
well as a simple packet counter.

Introduce LiveGetDevice function

Rename LiveGetDevice to LiveGetDeviceName

The function LiveGetDevice is returning a point to
the name of the interface. This patch renames it to
LiveGetDeviceName which is more appropriate.

pcap: add support for checksum verif mode

This patch adds support for checksum verification mode.
Auto mode is not yet supported.

af-packet: add support for checksum verif mode

This patch adds support for checksum verification mode.
Auto mode is not yet supported.

decode: introduce checksum mode enum.

af-packet: Fix typo in error message.

detect-csum: incomplete checksum is a valid checksum

This patch modify checksum match to not alert on packet with
incomplete checksum. They will be checksummed later and thus
can be considered as valid one.

af-packet: add variable to disable offloading detection

This flag adds variable to disable offloading detection. The effect
of the flag is to avoid to transmit auxiliary data at each packet.
This could result in a potential performance gain.

af-packet: parse message to find lack of checksum

Emitted packet can have checksum offloading. This patch reads
af-packet message parameter to see if the kernel has sent a non
checksummed packet.

pf-ring: Mark emitted traffic as non checksummed

The traffic sent by an interface is potentially offloaded. This
patch adds detection of TX packets and set the corresponding flag.

Treat incomplete checksum.

Checksum of local traffic is often offloaded to the network device.
This causes some problems on parsing of this traffic. This patch
introduces a PKT_INCOMPLETE_CHECKSUM flag which can be used to
indicate that the checksum is not computed/correct for good reason.

Fix icmpv6 ip-only rule not firing. #363.

indentation fix

fix detection engine for alert stability. Fix cases where we have multiple rules having same pattern. We should see good perf increase(~5%) with this change, now that we avoid unnecessary inspection"

indendation fix

reclaim mpm contexts if no patterns are added to it, even in non-full mode

update cuda mpm to support per proto mpm contexts. Fix faulty stream mpm usage of cuda

introduce separate mpm ctxs for tcp/udp/other_protos

refactor all http mpm engine code

fix indentation

remove unnecessary if/else checks

Add counters for SYN, SYN/ACK and RST TCP packets. Issue #251.

Let flow:only_stream and flow:no_stream set the require packet and require stream flags. Toss out sigs with conflicting settings. Rename flow:stream_only to flow:only_stream. Fixes #261.

Add tcp-pkt and tcp-stream 'protocols' to force a signature to inspect only packet or stream data.

Fix 2 compiler warnings.

Use strlcpy

Document new "filetype" argument for 'fast', 'http-log', etc.

Touch up Makefile for SCConfLogOpenGeneric.

Switch 'fast', 'http-log', 'drop' and 'alert-debug' to SCConfLogOpenGeneric.

SCConfLogOpenGeneric() abstraction for regular and AF_UNIX logs.

util-logopenfile.[ch] implements the abstraction; util-error.[ch]
modified to include a socket-specific error code; output.h adds a
default filetype for logs ("regular").

Switch log-file module to use new absolute path detection code.

Add functions to determine whether a path is absolute or relative.