DNSを変更すると、ISPレベルでMITMを防止できますか？

DNSを変更すると、ISPレベルでのMITMの防止に役立ちますか？

つまり、DNSサーバーを変更するだけでは効果がない可能性が非常に高くなります。

ISPが顧客のトラフィックをリダイレクトまたはMITMするために使用する可能性のあるいくつかのテクノロジーがあります。

• ISP提供のDNSサーバーが別のIPアドレスを返す
  これは、ほとんどのユーザーがISPのDNSサーバーを使用するという事実に依存しています。これは通常、特定のサイトをブラックリストに登録するために使用され、これを行うための安価なオプションです。大規模な（すべてのドメインの）MITMの場合、ドメインごとに異なるISP所有のIPアドレスを返すか、それらがTLS ClientHello（つまりSNI）のクリアテキストのホスト名であることを期待する必要があるため、うまく機能しません。
  これを回避する方法は、カスタムDNSサーバーを使用することです。
• ISPは、ポート53（DNS）への発信トラフィックを独自のDNSサーバーにリダイレクトします。
  これは、ユーザーが独自のカスタムDNSサーバーを構成した場合でも、ブラックリストが実装されたISPのDNSサーバーが実施されるようにするために行われます。これは少し高価ですが、それでも十分に拡張できます。ただし、大規模MITMでも同じ問題があります。
  DNS over HTTPS（DoH）を使用することで回避できます。
• ディープパケットインスペクションまたは透過プロキシ。
  ISPはすべてのトラフィックのパスにあるため、すべてのトラフィックでアクティブなMITMを再生できます。しかし、これがTLSである場合はすべてのトラフィックをチェックし、残りの接続をインターセプトする必要があるため、これは非常にコストがかかります。より簡単なのは、443のような一般的なポートのみを検査し、他のポートのHTTPSが失われることを受け入れることです。
  これは、ISPが任意のトラフィックを許可している限り、VPN、Tor、またはその他のトンネルテクノロジーによって回避できます。
• 必須のプロキシであり、他のほとんどのトラフィックを拒否します。
  この場合、お客様は政府CAを追加するだけでなく、プロキシを明示的に構成する必要があります。プロキシを使用していない直接トラフィックはすべてブロックされます（Tor、VPN、トンネルなど）。おそらく、メールの送受信などの一部のプロトコルは例外です。これは、ISPにとって最後のオプションよりも簡単で、保証されます。より広い範囲をカバーしますが、一部のアプリケーションが機能しない可能性があるように、すべてのアプリケーションがプロキシを処理できるわけではありません。

それでも問題が解決しない場合、プライバシーを保護するにはどうすればよいですか？

それは、MITMがどのように行われ、どのように（技術的および合法的に）実施されるかに依存します。運が良ければ、VPNまたはTorまたはSSHトンネルなどが機能し、これらを使用しても法的な問題は発生しません。

一般に、回避策は、分析されないものを使用することです。
ブラウザ外の一部のアプリケーションがSSLピン留めを実行し（WindowsのDropboxだと思います）、政府がこれらのアプリケーションの動作を許可したい場合、傍受されないドメインのホワイトリストがある可能性があります。これは、これらのドメインへのトラフィックがあるように見えるが実際には別の場所に接続しているカスタムトンネルで使用できます。ただし、一部の高度なトラフィック分析では、このような誤用がISPによって検出され、違法として扱われる可能性があることに注意してください。