换掉Cloudflare后，我发现设备背着我干了这些事

作者把用了多年的1.1.1.1换成了另一套DNS，结果后台流量全暴露了。这个"换工具"的动作，戳中了一个被忽视的真相：我们以为的"简单"，往往是以看不见为代价的。

Cloudflare的舒适陷阱

1.1.1.1几乎是技术圈的默认配置。地址好记、响应快、基础设施稳，还支持DNS Over HTTPS（DoH，一种加密DNS请求防止运营商窥探的技术）。对大多数人来说，"设置完就忘"正是它的卖点。

但这种极简主义有个隐藏成本：你放弃了追问"我的设备到底在连什么"的权利。作者坦承，自己之前"懒得折腾树莓派"，选了省事的方案——直到省事本身成了瓶颈。

新工具揭开了什么

切换到新服务后，作者第一次看清了后台流量的全貌。这不是"发现了某个具体威胁"的惊悚故事，而是更普遍的尴尬：大量设备在静默地、持续地、向各种域名发送请求——很多连设备主人都不知道。

智能家居固件检查更新。电视分析观看习惯。手机应用汇报活跃度。这些连接单个看都"合法"，聚合起来却是一幅完整的用户行为画像。Cloudflare不是没能力展示这些，是它的产品设计选择不展示。

控制权的重新定价

这件事的核心矛盾在于：DNS服务的商业模式决定了功能取舍。Cloudflare靠规模和速度取胜，用户基数越大越好，所以界面必须极简。小众工具靠差异化生存，深度控制就是卖点。

作者没有否定Cloudflare的价值，而是指出了选择背后的真实账单。当你说"我不在乎设备连了什么"，你其实在说"我把判断权外包给了服务商"。这在多数场景下合理，但在企业网络、隐私敏感场景或调试故障时，盲区就是成本。

清单：换DNS前该想清楚的5件事

1. 你的真实需求是什么

追求速度选Cloudflare或Google（8.8.8.8）足够。需要过滤广告和恶意域名，考虑AdGuard或NextDNS。想自建审计日志，得准备硬件和维护成本。没有万能方案，只有场景错配。

2. "加密"不等于"匿名"

DoH阻止了本地网络运营商窥探你的DNS查询，但DNS服务商本身能看到全部。Cloudflare承诺不记录，但这是信任模型，不是技术保证。换服务商只是转移了信任对象，而非消除信任需求。

3. 设备行为审计的价值被低估

作者换DNS后的核心收获不是"抓到了内鬼"，而是建立了可见性。企业安全团队早就知道：你无法保护看不见的东西。个人用户很少有这种意识，直到某个设备异常耗电或流量爆炸才被动排查。

4. 简单和可控是零和博弈

每个"一键优化"功能背后，都是预设规则替你做了选择。Cloudflare的1.1.1.1 for Families自动过滤恶意和成人内容，规则谁定？误杀谁管？对普通用户是便利，对需要精细控制的人是障碍。

5. 切换成本比想象中低

改路由器DNS设置只需几分钟，真正的成本是学习新工具的查询日志、理解统计口径、建立定期查看的习惯。作者换服务不是为了"一劳永逸"，而是为了获得持续观察的入口。

为什么这件事值得技术人关注

DNS是互联网最古老的基础设施之一，却仍在定义2024年的权力结构。Cloudflare处理了全球约20%的Web流量，这种集中度本身就是风险。作者的个体选择看似微小，实则参与了一场关于"去中心化"的持续实验。

更现实的层面：当AI助手、自动驾驶、健康监测设备全面联网，"设备背着我干了什么"会从极客话题变成大众焦虑。提前建立流量审计的习惯，是在为更复杂的物联网时代预演。

数据不会说谎。全球DNS流量中，约15%涉及广告追踪和遥测收集，这类请求在消费级路由器上几乎不可见。作者换工具后看到的"秘密"，其实是行业常态——只是大多数人从未获得观看的权限。