Para 1 e 3, eles veem tudo o que você vê.
Para 2 e 4, eles verificam que você solicitou o endereço IP para example.com e qualquer servidor DNS que você escolheu usar respondeu com 1.2.3.4 . Eles então viram você se conectar a 1.2.3.4 , mas não conseguiram ver o que você solicitou daquele IP nem o que lhe foi devolvido.
EDITAR : Advertência ao segundo parágrafo, se você tiver um certificado raiz instalado em sua máquina que seu ISP tenha acesso à chave privada (muito comum se você estiver em um ambiente colaborativo e < Não é difícil fazer eles poderiam interceptar a conexão SSL e fazer uma nova conexão SSL fingindo para ser o site e a única maneira que você saberia é se você verificou a cadeia de certificados SSL para ver se a CA raiz do certificado é a que você esperava.
O seu ISP pode fazer proxy da sua conexão, mesmo que você não esteja usando o DNS, ele ainda consegue ver sua consulta DNS passar pelo sistema. A única maneira de contornar isso é usar um proxy seguro que esteja fora do controle do seu ISP. a única coisa que seu ISP vê é que você se conectou ao proxy mas não pode ver onde você se conectou além disso nem o que foi solicitado (contanto que suas solicitações de DNS passem pelo proxy, muitos proxies não fazem isso por padrão). / p>