换掉Quad9后，我才看清家里设备在偷偷连什么

用了三年Pi-hole和Quad9之后，我终于换掉了DNS服务。不是因为它们不好，而是因为有个选项让我看到了完全不同的东西——家里每台设备到底在偷偷连什么。

事情的起因很简单：不是每台设备都允许你改DNS设置。智能电视、某些IoT设备、家人的手机，这些要么藏在层层菜单里，要么根本不给选项。Quad9的隐私保护我很满意，零日志、专注安全，但"一刀切"的过滤模式让我越来越觉得不够用。

Control D出现在备选清单顶端的原因很直接：配置文件。我可以为不同设备设置不同的拦截规则，而且它是云托管的——这意味着不需要折腾远程访问，出门在外的设备照样受保护。

本地DNS服务器的尴尬在于，设备经常假装看不见它。有些系统硬编码了DNS，有些在检测到"异常"时自动回退到运营商服务器。Control D的解决方式是提供基于配置文件的专属端点，每个端点对应一套规则，设备改一次设置就生效，无需在本地维护任何基础设施。

两者都拦截已知恶意域名，但Control D的颗粒度完全不同。月费不到4美元，包含广告和追踪器拦截、自定义过滤规则、按设备细分的配置文件。我可以给孩子的设备启用年龄分级过滤，给工作电脑阻断遥测域名，给访客网络单独设置DNS记录，主网络则保持开放。

拦截只是第一步，更重要的是看到拦截是否生效。Control D的仪表盘显示查询历史、被阻请求、漏网之鱼——这让我发现某些网站需要手动放行，也看清了现代互联网到底有多少"噪音"。

Quad9的免费和零日志无可指摘，但它不适合需要精细控制的人。我想决定什么该进黑名单，想按场景使用不同的黑名单，想在流媒体设备上阻断特定域名——这些需求它满足不了。

之前试过AdGuard等同类服务，要么设备数量有限，要么管理界面繁琐。Control D没有设备数量限制，免费版其实就能做恶意软件拦截，但我愿意为分析功能付费：年费20美元的档位解锁查询分析，40美元再加流量重定向（让某些服务认为你来自其他国家）。

隐私方面的取舍值得单独说明。Quad9的核心卖点是不记录查询，Control D则需要你明确授权才会记录——因为分析功能依赖这些数据。这个设计把选择权交给了用户，而非默认替你做决定。

换服务三个月后的感受：20美元买来的不是拦截能力，而是可见性。我终于知道凌晨三点那台空气净化器为什么总在连云端，知道工作笔记本每小时"回家"多少次，知道哪些"正规"网站其实埋了这么多追踪器。这种透明感，是免费DNS给不了的。