<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    The OP mentioned <br>
    <br>
    <blockquote type="cite">the cache started to store totally useless <b>records</b>
      of type TXT and <b>NULL</b>.</blockquote>
    <br>
    Whilst TXT records could serve a legitimate purpose, e.g.
    SFP/DKIM/DMARC, there appears not legitimate purpose at all for NULL
    records, according to
    <a class="moz-txt-link-freetext" href="https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml">https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml</a>
    and subsequent <a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/rfc1035">https://tools.ietf.org/html/rfc1035</a>.<br>
    <br>
    Thus I would reckon the OP has a valid point of questioning<b> NULL
      records</b> being cached by unbound, or even served to querying
    clients at all. There seems to be no mechanism however in unbound to
    prevent such.<br>
    <br>
    I might be mistaken but the QTYPE=NULL Key Tag query pertaining to
    DNSSEC as in <a class="moz-txt-link-freetext"
      href="https://tools.ietf.org/html/rfc8145#section-5.1">https://tools.ietf.org/html/rfc8145#section-5.1</a>
    does not query an actual <b>NULL record </b>but rather specifies <br>
    <br>
    <blockquote type="cite">
      <pre class="newpage">Anything at all may be in the RDATA field so long as it is 65535 octets or less.</pre>
    </blockquote>
    <br>
    <div class="moz-cite-prefix">On 22.11.2018 15:12, I via
      Unbound-users wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAO-L_V891p2o9Ds8CR9BxmbjkcJTnMkx0J0Xe4NfxW1eOQVMqA@mail.gmail.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div dir="auto">
        <div dir="auto">Hi,<br>
        </div>
        <div dir="auto"><br>
        </div>
        <div dir="auto">Rate-limiting queries per source IP with
          specific query type (NULL/TXT) and long qname (e.g. 20 byte or
          longer). That should be possible using iptables hashlimit
          module and dns-extension [1].</div>
        <div dir="auto">That will make DNS-tunnel VPN useless while
          accepting legitimate TXT/NULL queries.</div>
      </div>
      <div dir="auto"><br>
      </div>
      <div dir="auto">[1] <a
          href="https://github.com/mimuret/iptables-ext-dns"
          target="_blank" moz-do-not-send="true">https://github.com/mimuret/iptables-ext-dns</a></div>
      <div dir="auto"><br>
      </div>
    </blockquote>
    <br>
  </body>
</html>