DNS трафик перехватывается и подменяется и это ни для кого не секрет, для RIPE Labs в том числе. Потому что это просто, потому что это работает, потому что это бывает полезно не только для цензуры. В статье взяли facebook.com и google.com и сделали запрос из разных частей света к корневым серверам, контрольный домен ripe.net. Результат - это делают почти все, для AAAA в два раза реже чем для A, TCP тоже почти не трогают в отличие от UDP, и в большинстве случаев перехватывается только запросы на некоторые домены, а не все подряд. Есть статистика по странам, по ASn, по корневым серверам.