>скрыть сам факт обращения к заблокированному сайту, немного видоизменив параметры HTTP-запроса

Это дерьмо ведь работает только для нешифрованных сайтов. А с нешифрованными сайтами можно сделать разговор короткий - сразу вставлять эксплоиты с малварью во все страницы. А когда на государство в суд подадут, сказать что это не вредоносное ПО: критерий вредоносности из 177 УК РФ - это несанкционированность действий, а дальше можно за уши притянуть, что согласно ст. 55 п 3 Конституции разрешено неопределённое множество действий, включая удаление запрещённой в РФ и просто пиратской информации с вашего компа и копирование информации с вашего компа на сервера опричников, и раз вы живёте под юрисдикцией РФ и не отказались от гражданства РФ и не уехали из неё в более либеральные государства (таких даже в Африке не нашёл, не говоря уже об остальных, так что приходится жить в РФ), то значит вы как оператор ЭВМ санкционируете применение ПО для этого, значит можно сказать, что это вредоносное ПО невредоносное. Разумеется, это всё  филькина грамота, но если у судьи конфликт интересов, то можно ожидать принятие любой извращённой логики, соответствующей интересам судьи.

Не говоря уже о записи трафика по закону Яровой.

Поэтому использование нешифрованного http следует вообще не рассматривать как вариант, а всё остальное, что DPI анализировать не умеет, просто блокирутся по IP, и контрмеры бесполезны.

TLS иногда анализируется через SNI, но принятие поддельного SNI хостером приведёт только к тому, что тот хостинг заблокируют безусловно. Было уже с гуглом и амазоном, когда, заблокировав полинета, к***рт****р***ы вынудили их изменить политику относительно meek.

Кстати, относительно plain http такое тоже сработает: DPI заточены под то, чтобы не ломать то, что реально присутствует в софте. Можно самовольно ужесточить спецификацию http 1.1 до уровня, который обеспечивает срабатывание DPI, назвать её DPI Friendly HTTP (которая заведомо реализована в браузерах и curlе, ибо с оглядкой на них DPI и делалось), а дальше прислать патчи в сервера (nginx, apache), отклоняющие пакеты, несоответствующие спецификации. А дальше просканить инет, разослать письма и заблокировать все сервера и хостинги, так и не включившие режим соответствия данной спецификации, по IP.