Tunel DNS je jedným zo spôsobov, ako obísť cenzúru siete. Účelom rekurzívneho DNS resolvera je prijímať pakety a posielať ich niekam inam – v skutočnosti funguje ako druh sieťového proxy. DNS tunely cez obyčajný text UDP sa vo všeobecnosti považujú za ľahko zistiteľné kvôli neobvyklým DNS správam, ktoré používajú. DoH a DoT sú však šifrované – vonkajší pozorovateľ môže vidieť, že komunikujete s verejným prekladačom, ale nemôže dešifrovať nespracované DNS správy, aby zistil, že obsahujú tunelový protokol. (Samotný resolver môže stále ľahko zistiť, že používate tunel.)
dnstt štandardne používa end-to-end šifrovanie a autentifikáciu medzi tunelovým klientom a tunelovým serverom. Jeho návrh protokolu umožňuje vyšší výkon ako iné tunely DNS.