All of #DNS in one tweet. Com.com Com.com.com Com.com.com.com Com.com.com.com.com Com.com.com.com.com 3n (n−1) ≤ 253 → 4n − 1 ≤ 253 → n ≤ 63 DNS original (RFC 1034/1035) | 1987 EDNS0 (RFC 2671 / 6891) | 1999 DNSSEC (RFC 4033/4034/4035) | 2005 DNSCrypt | 2011 DANE (RFC 6698) | 2011 DNS over TLS / DoT (RFC 7858) | 2016 DNS over HTTPS / DoH (RFC 8484) | 2018 Oblivious DNS / ODoH | 2020-2021 DNS over QUIC / DoQ (RFC 9250) | 2022 DNS over HTTP/3, post-quantum, DNS4EU | ongoing

#dnscrypt - Kötü niyetli internet kesintilerini aşmanın tek yolu Geçenlerde şifrelenmiş bir dns kullanmanın önemini anlatmıştım. Kendim de kullanıyorum. Port 53 de çalıştırmaya uğraşmam sebebi ile bir süredir aktif değilmiş. Aman tanrım sen misin kullanmayan servis sağlayıcı Superbox modeme müdahale ediyor evdeki aletlerin bağlantılarını tek tek kesiyor. Bu ilk defa yaşadığım bir durum değil eskiden sadece ne oluyor diye çözemediğim bir olaydı. Yahu diyorum herşey çok iyiydi ne oluyoruz. Baktım dnscrypt (şifreli dns) çalışmıyor. Bu sadece #superonline da olmuyor. Tüm türkiyede #ttnet #ttkom ve ufak dağıtıcılarında durum aynı. Tek tek denediğimi söyleyebiliriz. Size olduğunu nasıl anlarsınız: 📍Evdeki TV ler ilk çalıştığında internete geç bağlanıyorsa hatta bazı durumda giremiyorsa. 📍Tvbox lar (mibox tarzı) bazen hiç internete giremiyorsa 📍Evdeki bazı cihazlar normal bağlanırken bazıları sık kesiliyorsa İnternetinize kasti yavaşlatma ve kötüleştirme uygulanıyor olabilir. İnternet yasaklarını delmiyor olasınız bile örneğin roblox gibi bir siteye girmeye çalışmanız bile internetinize "kanunsuz" kesintileri ve müdahaleleri tetikleyebilir. Olay tamamen rastgele "ne zaman tetikleneceği" belli olmuyor. Nereye kaçacağımızı nereye sığınacağımızı şaşırdık. Para ödediğimiz birşeyin karşılığını niye verilmiyor anlamıyorum. Yakın zaman da internet kullanım kotaları hakkındaki skandal günyüzüne çıkmıştı. 😡Tekel bile olsalar internet sağlayıcıları dürüstlüğe davet ediyorum.

A pfSense package for dnscrypt-proxy with a full GUI github.com/nopoz/pfsense-dns…

Digital Shadow Tools To build a solid digital shadow, you need an arsenal that keeps you invisible Join my Telegram channel for exclusive content: t.me/rootacessacademy 1. Tor The core Tor project, allowing you to anonymously route your internet traffic through a decentralized network of volunteer relays. 2. Tails OS An amnesic, privacy-focused operating system bootable from a USB stick. It routes all traffic through Tor and leaves absolutely no trace on the host machine. 3. Whonix An OS designed for enhanced anonymity and security, running over Tor using a split-architecture with two virtual machines: a Workstation and a Gateway. 4. OpenVPN A powerful open-source solution for creating Virtual Private Networks (VPNs), enabling secure and anonymous network connections. 5. WireGuard A modern, fast, and lightweight VPN protocol that provides state-of-the-art cryptography and high performance to protect your traffic. 6. Shadowsocks A secure, lightweight SOCKS5 proxy designed specifically to bypass censorship and ensure network anonymity. 7. ProxyChains-NG A tool that forces the TCP connection of any application through a chain of proxies (Tor, SOCKS4/5, HTTP), effectively masking your origin IP. 8. DNScrypt-proxy A flexible DNS proxy that encrypts and authenticates DNS queries, preventing interception, spoofing, and tracking. 9. Signal Desktop The desktop client for the Signal messenger, providing bulletproof end-to-end encryption for all your messages, calls, and media. 10. Element Web The flagship web client for the Matrix network, offering decentralized, end-to-end encrypted messaging and conferencing. 11. uBlock Origin A highly efficient, memory-friendly ad and tracker blocker that significantly improves privacy and page load speeds. 12. Privacy Badger A browser extension by the EFF that automatically learns and blocks invisible third-party trackers spying on your online activity. 13. Wasabi Wallet An open-source, privacy-focused Bitcoin wallet that utilizes CoinJoin to mix transactions and break the chain of custody.

Bon setup. Le TP-Link derrière la box c’est déjà une bonne couche d’isolation. Invizible Pro est solide : open source, combine DNSCrypt Tor pare-feu applicatif. C’est plus complet que juste un DNS chiffré.

Testing dnscrypt-proxy along with it's interesting UI on a server in Europe doing DoH with Google, Cloudflare and DNS4EU. On interesting part DNS4EU has lower ICMP latency but much higher resolution latency resulting in most of queries going to Cloudflare.

Entropy Shield: Next-Gen Aesthetics for Linux Privacy ​Entropy Shield, the one-click control stack for Tor, DNSCrypt, and I2P, introduces 5 new dynamic themes. ​• Binary & Pixel: Matrix-style rain and retro monochrome • Circuit: PCB-inspired traces with glowing nodes • OLED & Light: Pure black and clean white panels ​Zero footprint, maximum protection, and a completely redesigned visual experience. ​#Linux #Privacy #OpenSource

Kodachi lives again 🦾 @warith2020 Linux Kodachi V9.01 has been revived after almost 2 years of silence — Warith is back at the helm. Privacy‑focused. Hardened. Pre‑configured for anonymity. VPN → Tor → DNSCrypt → leak protection. Download: kodachi.cloud/wiki/bina/inde…

Kodachi lives again 🦾 @warith2020 Linux Kodachi V9.01 has been revived after almost 2 years of silence — Warith is back at the helm. Privacy‑focused. Hardened. Pre‑configured for anonymity. VPN → Tor → DNSCrypt → leak protection. Download: kodachi.cloud/wiki/bina/inde…

Unbound DNSリゾルバで重大なDNSSEC検証脆弱性が修正された。細工されたDNSゾーンだけで未認証リモートコード実行が可能となる恐れがあり、外部公開DNSの緊急更新が求められている。 最も深刻なCVE-2026-33278はUnbound 1.19.1〜1.25.0に影響する。DNSSEC検証処理で複雑なNSEC3レコードを扱う際、メモリ管理不備により解放済みポインタを再利用してしまう。攻撃者は悪意ある署名付きDNSゾーンを用意することで、DNSデーモンのクラッシュや任意コード実行を引き起こせる。 加えてCVE-2026-42944ではEDNSオプション処理時のヒープオーバーフローが確認された。Cookieやパディング機能を有効化している場合、巨大なEDNSオプションを送り込むことでメモリ破壊が発生する可能性がある。CVE-2026-42959では上流DNS応答により検証エンジンが即時クラッシュする欠陥も修正された。 中程度の問題としては、権威セクション経由のキャッシュ汚染を許すCVE-2026-42960、CPU使用率を極端に高騰させる名前圧縮処理不備のCVE-2026-44390、EDNSオプション大量送信によるDoSのCVE-2026-41292なども含まれる。RPZコードではゾーン再読み込み中にUse-After-Freeが発生し、デーモンクラッシュへ至る問題も修正対象となった。 NLnet Labsは修正版1.25.1への更新を推奨している。即時更新できない場合はDNSCrypt無効化や複雑なRPZ設定削除などで一部リスク低減は可能だが、根本対策には公式アップデート適用が必要となる。 securityonline.info/unbound-…

dnscrypt-proxy 2.1.16 released github.com/DNSCrypt/dnscrypt…

（参考訳） ・CVE-2026-33278を修正：DNSSEC検証中にリモートコード実行の可能性がある。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。 ・CVE-2026-42944を修正：複数のnsid、cookie、padding EDNSオプションによるヒープオーバーフローおよびクラッシュ。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。 ・CVE-2026-42959を修正：悪意のあるコンテンツのDNSSEC検証中にクラッシュが発生する問題。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。 ・CVE-2026-32792を修正：DNSCryptによる「パケット・オブ・デス」問題。報告してくれたcalif.ioのAndrew Griffiths氏に感謝する。 ・CVE-2026-40622を修正：「幽霊ドメイン名」の亜種。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。 ・CVE-2026-41292を修正：受信したEDNSオプションの長いリストを解析するとパフォーマンスが低下する問題。報告してくれたGitHub ユーザー「N0zoM1z0」及びPalo Alto NetworksのQifan Zhang 氏に感謝する。 ・CVE-2026-42534を修正：Jostleロジックのバイパスにより解決パフォーマンスが低下する。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。 ・CVE-2026-42923を修正：無制限のNSEC3ハッシュ計算によるサービス品質の低下。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。 ・CVE-2026-42960を修正：委任処理中にキャッシュポイズニング攻撃が発生する可能性。報告してくれた北京大学のTaoFei Guo氏、清華大学のYang Luo氏及びJianJun Chen氏に感謝する。 ・CVE-2026-44390を修正：特定のケースにおける無制限の名前圧縮によりサービス低下が発生する問題。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。 ・CVE-2026-44608を修正：RPZ処理におけるUse after freeとクラッシュ ・CVE-2026-44608を修正：RPZコードにおけるUse after freeとクラッシュ。報告してくれたPalo Alto NetworksのQifan Zhang氏に感謝する。

誰も困ってないと思うけど。 なぜか DNS over HTTPS なら問題ないので dnscrypt-proxy を入れて dns.mullvad.net 宛てに設定して解決。

True. Half of the queries generated on my network today have been to tracking, malware and Internet cruft sites. Not only are they blocked at the domain, I'm not wasting bandwidth loading whatever content those sites contain. I recommend pairing Pi-Hole with DNSCrypt.

I personally use a personal server on which I installed Wireguard Pihole DNSCrypt-Proxy with external relay and DNSCrypt. When I play outside I connect via Wireguard or OpenVPN which points to Pihole which in turn points to DNSCrypt proxy and I'm fine with that.

👇 DNScrypt y Tor. Después todos los puentes,gradualmente, da igual protocolo de cifrado (obsf4,vanilla, webtunnel). Hasta que solo nos queda tirar de ciertos servidores intermedios ipv4. Porque la mayoría de predefinidos los bloquean. Aquí el más restrictivo o de los que más. 👇

بزرگ‌ترین چالش‌های ما در عبور از فیلترینگ پیشرفته (DPI) چیست؟ ۱. ربایش و دستکاری دی‌ان‌اس (DNS Hijacking) ۲. تشخیص و دراپ کردن الگوهای VPN توسط فایروال ۳. مسدودسازی یا اختلال فلّه‌ای روی پورت‌های UDP ✅ چرا معماری [Hysteria2 سرور DNS محلی] انتخاب اصلی ماست؟ این روش ترافیک شما را دقیقاً شبیه یک وب‌گردی کاملاً عادی (پروتکل QUIC/HTTP3) استتار می‌کند. با انتقال تمام درخواست‌های DNS به داخل این تونل امن، چشم فیلترینگ را کور می‌کنیم. در کنار آن، برای امنیت جانی کاربران، تمامی لاگ‌های سیستم مستقیماً روی RAM نوشته شده و با یک ری‌استارت نابود می‌شوند (Zero Logs). 🔄 پلن جایگزین (در زمان قطعی کامل پورت 443 UDP): اگر فایروال‌ها به حالت "اینترنت ملی" بروند و UDP 443 بسته شود، معماری ما منعطف است. به جای Hysteria2 می‌توانیم از این روش‌ها استفاده کنیم: 🔹 تکنیک IP Spoofing (جعل آی‌پی) روی سایر پورت‌ها برای دور زدن Whitelist. github.com/ParsaKSH/spoof-tu… 🔹 تونل‌های Slipnet از طریق پورت 53 (فایروال‌ها معمولاً برای حفظ ساختار شبکه خودشان جرات بستن کامل پورت ۵۳ را ندارند). ---------------------------------------------------------- نسخه: ۲۰۲۶ | روش: تونل Hysteria2 (QUIC) سیستم DNS رمزنگاری‌شده محلی این راهنما به شما کمک می‌کند تا یک تونل امن به اینترنت آزاد بسازید. این سیستم تمام ترافیک اینترنت شما را به شکل یک بازدید معمولی از یک وب‌سایت بی‌خطر پنهان می‌کند تا از سد فیلترینگ عبور کنید. 📋 پیش‌نیازهای مهم (لطفاً ابتدا بررسی کنید) قبل از شروع، مطمئن شوید که موارد زیر را در اختیار دارید: ۱. دو عدد سرور (VPS): یک سرور در اینترنت آزاد (سرور خارج) و یک سرور در ایران (سرور داخل/ایران). روی هر دو باید سیستم‌عامل Ubuntu Linux نصب باشد. ۲. پورت‌ها: پورت 443 (هم TCP و هم UDP) باید روی هر دو سرور باز باشد. ۳. دسترسی: آی‌پی سرور خارج شما نباید از داخل ایران مسدود (فیلتر) شده باشد. ۴. دانش اولیه: باید بدانید چگونه با استفاده از یک نرم‌افزار ترمینال (مانند PuTTY در ویندوز یا Terminal در مک) به سرور خود متصل شوید. ⚠️ هشدار مهم (یک اشتباه رایج):بسیاری به اشتباه تصور می‌کنند که تونل عبور ترافیک (VLESS) و سرور DNS هر دو روی یک سرور قرار دارند. این‌ها دو سرور کاملاً مستقل و جدا از هم هستند! (یکی برای انتقال دیتای اینترنت و دیگری برای حل مشکل ربایش DNS در شبکه داخلی). ❌ هرگز همه چیز را روی یک سرور متمرکز نکنید. پیاده‌سازی همه سرویس‌ها روی یک ماشین، تمام معماری پنهان‌نگاری (Stealth) و امنیت شبکه شما را به خطر می‌اندازد. جداسازی این دو، کلید اصلی بقای این سیستم است. بخش اول: ایمن‌سازی پایه و پاک کردن ردپاها (روی هر دو سرور انجام شود) در این بخش ما دو کار مهم برای امنیت جانی و سایبری شما انجام می‌دهیم: اول، جلوی نشت اطلاعات توسط "IPv6" را می‌گیریم. دوم، به سرور دستور می‌دهیم که تمام گزارش‌های سیستم (Logs) را به جای هارد دیسک، روی حافظه موقت (RAM) ذخیره کند. این یعنی با هر بار خاموش و روشن شدن سرور، تمام ردپاهای شما کاملاً و برای همیشه پاک می‌شود. مرحله ۱: خاموش کردن IPv6 وارد سرور خود شوید و فایل تنظیمات راه‌اندازی (Bootloader) را باز کنید: Bash sudo nano /etc/default/grub (نکته: Nano یک ویرایشگر متنی است. می‌توانید با کلیدهای جهت‌نما در آن حرکت کنید). مرحله ۲: در این فایل، به دنبال این دو خط بگردید: GRUB_CMDLINE_LINUX_DEFAULT="..." GRUB_CMDLINE_LINUX="..." مرحله ۳: عبارت ipv6.disable=1 را داخل علامت‌های نقل‌قول (کوتیشن) اضافه کنید. نتیجه باید شبیه به این باشد: Plaintext GRUB_CMDLINE_LINUX_DEFAULT="quiet splash ipv6.disable=1" GRUB_CMDLINE_LINUX="ipv6.disable=1" فایل را ذخیره کنید (Ctrl O، سپس Enter، سپس Ctrl X). مرحله ۴: انتقال لاگ‌ها به حافظه موقت RAM (ضد ردگیری) حالا باید به سرور بگوییم گزارش‌ها را روی هارد دیسک ننویسد. این فایل را باز کنید: Bash sudo nano /etc/fstab مرحله ۵: با کلید جهت‌نما به پایین‌ترین قسمت فایل (یک خط خالی جدید) بروید و دقیقاً متن زیر را در آنجا جای‌گذاری (Copy/Paste) کنید: Plaintext tmpfs /var/log tmpfs defaults,noatime,nosuid,mode=0755,size=100m 0 0 فایل را ذخیره کنید (Ctrl O، سپس Enter، سپس Ctrl X). مرحله ۶: اعمال تغییرات و ری‌استارت به سرور دستور دهید تا تغییرات را اعمال کرده و راه‌اندازی مجدد (ری‌استارت) شود: Bash sudo update-grub sudo reboot سرور شما اکنون ری‌استارت می‌شود. همین ۶ مرحله را روی سرور دوم خود نیز انجام دهید! بخش دوم: راه‌اندازی سرور خارج (Cloud) اکنون به سروری که در خارج از کشور (اینترنت آزاد) قرار دارد متصل شوید. مرحله ۱: ساخت یک هویت جعلی (استتار) ما یک "گواهینامه" می‌سازیم که به فیلترینگ می‌گوید: "من یک وب‌سایت بی‌خطر (مثلاً bing.com) هستم." دستورات زیر را یکی یکی کپی کرده و اجرا کنید: Bash sudo mkdir -p /etc/hysteria sudo openssl ecparam -name prime256v1 -out /etc/hysteria/ecparams.pem sudo openssl req -x509 -nodes -newkey ec:/etc/hysteria/ecparams.pem -keyout /etc/hysteria/server.key -out /etc/hysteria/server.crt -sha256 -days 3650 -subj "/CN=bing.com" sudo chmod 644 /etc/hysteria/server.crt /etc/hysteria/server.key مرحله ۲: دانلود Hysteria2 برنامه‌ای که قرار است تونل ما را بسازد، دانلود کنید: Bash bash <(curl -fsSL app.hysteria.network/get.sh) مرحله ۳: تنظیمات Hysteria فایل تنظیمات را باز کنید: Bash sudo nano /etc/hysteria/config.yaml هر چیزی که در آن نوشته شده را پاک کنید و متن زیر را قرار دهید (بجای YOUR_PASSWORD یک رمز عبور قوی به دلخواه خود بنویسید): YAML listen: :443 tls: cert: /etc/hysteria/server.crt key: /etc/hysteria/server.key auth: type: password password: YOUR_PASSWORD obfs: type: salamander salamander: password: YOUR_PASSWORD (ذخیره کنید: Ctrl O، سپس Enter، سپس Ctrl X) مرحله ۴: روشن کردن تونل Bash sudo systemctl enable hysteria-server.service sudo systemctl start hysteria-server.service بخش سوم: راه‌اندازی سرور داخل (پل ارتباطی در ایران) حالا به سرور داخل ایران متصل شوید. این سرور از این به بعد دروازه ورود شما و تمام دستگاه‌های خانه‌تان به اینترنت آزاد خواهد بود. مرحله ۱: دانلود Hysteria2 Bash bash <(curl -fsSL app.hysteria.network/get.sh) مرحله ۲: اتصال به سرور خارج فایل تنظیمات کلاینت را باز کنید: Bash sudo nano /etc/hysteria/client.yaml متن زیر را در آن قرار دهید. مهم: بجای CLOUD_IP_ADDRESS آی‌پی سرور خارج خود را بنویسید و بجای YOUR_PASSWORD همان رمزی که در سرور خارج تعیین کردید را قرار دهید! YAML server: CLOUD_IP_ADDRESS:443 auth: YOUR_PASSWORD tls: sni: bing.com insecure: true obfs: type: salamander salamander: password: YOUR_PASSWORD socks5: listen: 127.0.0.1:1080 (ذخیره کنید: Ctrl O، سپس Enter، سپس Ctrl X) مرحله ۳: روشن کردن کلاینت برای همیشه Bash sudo systemctl enable hysteria-client@client.service sudo systemctl start hysteria-client@client.service بخش چهارم: تعمیر دفترچه تلفن نابینا (DNS امن) سیستم فیلترینگ اغلب از طریق بررسی درخواست‌های وب‌سایت‌ها (DNS) متوجه می‌شود شما قصد دارید کجا بروید. ما اکنون یک سرور DNS رمزنگاری‌شده روی سرور ایران شما می‌سازیم تا جلوی این جاسوسی را بگیریم. مرحله ۱: نصب DNSCrypt Bash sudo apt update sudo apt install dnscrypt-proxy -y مرحله ۲: حل مشکل مجوزها در لینوکس باید به این برنامه اجازه دهیم تا در کل شبکه داخلی شما کار کند. این دستورات را کپی و اجرا کنید: Bash sudo mkdir -p /etc/systemd/system/dnscrypt-proxy.socket.d echo -e "[Socket]\nListenStream=\nListenDatagram=\nListenStream=0.0.0.0:53\nListenDatagram=0.0.0.0:53" | sudo tee /etc/systemd/system/dnscrypt-proxy.socket.d/override.conf sudo mkdir -p /etc/systemd/system/dnscrypt-proxy.service.d echo -e "[Service]\nAmbientCapabilities=CAP_NET_BIND_SERVICE\nCapabilityBoundingSet=CAP_NET_BIND_SERVICE" | sudo tee /etc/systemd/system/dnscrypt-proxy.service.d/override.conf مرحله ۳: ارسال دفترچه تلفن از داخل تونل تنظیمات DNSCrypt را باز کنید: Bash sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml تغییرات را طوری اعمال کنید که در بالاترین قسمت فایل، دقیقاً این خطوط قرار بگیرند (بقیه خطوط پایین فایل را تغییر ندهید): Ini, TOML listen_addresses = [] server_names = ['cloudflare'] proxy = 'socks5://127.0.0.1:1080' force_tcp = true require_dnssec = true (ذخیره کنید: Ctrl O، سپس Enter، سپس Ctrl X) مرحله ۴: اجبار سرور به استفاده از DNS خودش به سرور ایران می‌گوییم که از این به بعد فقط از سیستم رمزنگاری شده خودش استفاده کند: Bash sudo rm -f /etc/resolv.conf echo "nameserver 127.0.0.1" | sudo tee /etc/resolv.conf مرحله ۵: اعمال تغییرات و شروع به کار Bash sudo systemctl daemon-reload sudo systemctl restart dnscrypt-proxy.socket sudo systemctl restart dnscrypt-proxy تست نهایی روی سرور: عبارت nslookup youtube.com را تایپ کنید. اگر لیستی از آی‌پی‌ها به شما نشان داده شد، یعنی شما فیلترینگ را با موفقیت دور زده‌اید! بخش پنجم: استفاده در گوشی یا کامپیوتر سرور ایران شما اکنون یک روترِ ضدسانسور و امن است. ابتدا باید آی‌پی محلی (Local IP) آن را در شبکه خانگی خود پیدا کنید (مثلاً چیزی شبیه 192.168.1.50). برای این کار روی سرور ایران دستور ip a را بزنید. روی گوشی موبایل یا لپ‌تاپ شما: ۱. به تنظیمات وای‌فای (Wi-Fi) خود بروید. ۲. تنظیمات آی‌پی را از حالت "خودکار (DHCP)" به حالت "دستی (Manual/Static)" تغییر دهید. ۳. در قسمت DNS 1 یا DNS Server، آی‌پی محلیِ سرور ایران خود را وارد کنید. ۴. ذخیره کنید! از این لحظه به بعد، تمام درخواست‌های اینترنت شما به صورت کاملاً نامرئی از تونل ایران عبور کرده و به اینترنت آزاد می‌رسد. نیازی به روشن کردن هیچ اپلیکیشن VPN روی گوشی خود ندارید!

Since you mentioned decentralized VPNs, we have to chime in since we are one. It is true that most mainstream VPNs collect your data and resell it to data brokers. VPN companies make a lot of extra cash this way. They are able to do this because the servers you connect to in order to route your traffic is owned and operated by the VPN company itself. Decentralized VPNs are a different bread altogether. No single entity operates all the exit nodes and we have no way to inspect the data originating from your computer to any of the community hosted nodes - nor would we want to if it were possible. Another interest to ISPs and VPN companies is your DNS traffic. DNS is a means to lookup the address to a human-readable domain name. 100% of these requests are not encrypted by default, and are most notably in the privacy community called "DNS leaks". We have a plugin called DNSCrypt which allows users to select encrypted DNS servers to use. By default in the Wireguard protocol, your ISP can't view your DNS queries, but the ISP the exit node is on, can. But with the added protection of DNSCrypt, the queries are tunneled to a server of your choice just like the VPN connection is. Now, is the sticky point. Any service you pay for has to retain some data in order for the service to work. There is no getting around this. If you pay for service A, there has to be some way for service A to link your payment to the service it will provide you. Most of the times this is done by an Account number. If you pay with a credit card then your ID is linked to your account number. Our users payment is defined by the wallet address in our software which allows users to use the decentralized network. We don't accept FIAT for this reason alone and promote the use of a wide array of privacy coin payments that we have worked to accept directly in the app. Using a privacy coin to pay completely eliminates any linkability between your account number (Meile wallet address) and the method of payment. Any blockchain data related to your Meile wallet address is just meaningless data. We also have decoy methods of the blockchain data. You can read about it more on our blog. Our philosophy is clear: the less we know about you the better it is for us and for you. Retaining user data is a liability for subpoenas and it is not in our interest to work with state on any avenue.

Org puntar akan pakai DNSCrypt.

Pihole can detect and forward DoH, I use a selfhosted DNScrypt for that.