<div>> My idea is designed to protect the exit node against a DNS attack from the <br></div><div>> owner of the DNS server. Not from the ISP or an attacker monitoring the<br></div><div>> traffic going in and out of the ISP data center.<br></div><div><br></div><div>So in this threat model you trust your ISP but not your DNS provider? Why not just use the ISP's DNS then? Combine it with a local caching resolver and call it a day.<br></div><div><br></div><div>I don't really see a compelling use-case for just inserting DNS noise and not following up with IP noise.<br></div><div><br></div><div>I'm interested in things like Google's DNS-over-HTTPS implementation: <a href="https://developers.google.com/speed/public-dns/docs/dns-over-https">https://developers.google.com/speed/public-dns/docs/dns-over-https</a>. It encrypts  DNS traffic on the wire. There are already some fairly good client-side implementations. However, we need other providers to put up DNS-over-HTTPS endpoints, since no one wants to trust Google.<br></div><div><br></div>