Большинство DNS запросов по умолчанию идет в основной шлюз = на DNS сервера провайдера = в 1 клик блокируется для 80% юзеров, а дальще - сложнее, ибо как было с телеграмом, айпишники которого сколько не блокировали, все равно не успевали за их сменой. Так что дальше как уже писали - анализ трафика на предмет vpn туннелей и характерного изменения интенсивности трафика по ним (обходится мимикрией туннеля под https и запуском мусорного трафика для "белого шума"). В общем - противостояние брони и снаряда.
https://habr.com/ru/company/ruvds/blog/570104/
Вот недавно обсуждали, много интересного в коментах.