Так ведут себя не все домены, но вот пример maxcdn.bootstrapcdn.com выдает
8.8.8.8 - 104.18.11.207 и 104.18.10.207
1.1.1.1 - 188.114.99.224 и 188.114.98.224
9.9.9.9 - как и 8.8.8.8
но на некоторых доменах все 3 днса выдают разные айпи

не могу нагуглить как это называется и почему происходит, и есть ли способ получить сразу все айпи адреса

Ваш домен привязан к cloudflare, это cdn, он будет выдавать ближайший айпишник по доступности и гео

Это геобалансировка. Адреса выдаются в зависимости от географического положения, как правило, пользователя, а определяется оно по EDNS Client Subnet.

Даже с 1 IP адреса со временем начинают ресолвиться другие адреса.
Не только гео

Since June 2014, Google Public DNS automatically detects nameservers that support EDNS Client Subnet (ECS) options as defined in the IETF draft (by probing name servers at a low rate with ECS queries and caching the ECS capability), and will send queries with ECS options to such name servers automatically.[20]

спасибо за ответы, т.е. получить все айпи получается довольно сложно? Пытаюсь понять на сколько выгодно цензору проверять принадлежность домена к айпи, т.е. чтобы подключения типа
ip 1.1.1.1 sni one.one.one.one проходили, а ip 5.6.7.8 sni one.one.one.one не проходили т.к. one.one.one.one не резолвится на 5.6.7.8

Довольно сложно, общего решения нет. Есть, к примеру, всякие сканеры, которые запоминают где сертификат для этого домена засветился и такие IP-адреса сохраняют. Но это всё косвенные пути, прямого нет.

Что касается цензора, то если бы это встало проблемой, то я бы поступил так:

1. Принудил бы всех клиентов использовать мои DNS-серверы, а доступ к чужим обрезал бы.
2. На каждый DNS-запрос от клиента отвечал бы каким-то IP-адресом из своей сетки.
3. При приходе соединения от конкретного клиента на этот адрес из “маскировочной” сети, прозрачно проксировал бы соединение по настоящему адресу назначения (какой домен известно априори из сопоставленного адреса).

Я даже реализовал такую связку из DNS-сервера и прозрачного прокси: GitHub - Snawoot/dns44: IPv4 to IPv4 mapping DNS server

Например: приходит DNS-запрос адреса google.com. DNS ответит на него свободным случайным ИП-адресом 172.24.3.15 и запомнит, что назвал такой адрес для домена гугла. Потом, когда на порт прозрачного прокси придёт сессия на адрес 172.24.3.15, то сразу будет понятно, что настоящий запрошенный домен был гугловый и присоединиться нужно к нему на такой же порт.

А зная все домены, которые являются настоящей причиной подключений к конкретному ИП-адресу, можно фильтровать, не взирая на то, что там в SNI.

ну это жестко… глобально надеюсь такое нигде не поставят

Новые броузеры по умолчанию используют DoH.
Некоторые DNS ресолверы могут проверять dnssec.
В рамках обьема трафика провайдеров слишком затратно проксировать все соединения. Разве что выборочно на отдельные домены

Крупные провайдеры типа дом.ру так и делают. Там ничего “обрезать” не нужно, достаточно заворачивать весь трафик по 53 порту на свой резолвер.

Соответственно, DNS провайдера резолвит “запрещённые” домены в IP-адрес, на котором висит заглушка провайдера “Доступ заблокирован, вот посмотрите вместо этого нашу рекламу”. Это “первая линия” блокировок, позволяющая облегчать нагрузку на DPI: раз соединение не устанавливается (пользователя отправили смотреть заглушку), то и инспектировать его не нужно.

Yota так не делает. Резолвит как есть. Только на facebook и instagram отвечает 127.0.0.1. Видимо, потому что признаны экстремистскими сайтами.