Chrome浏览器插件识别恶意DNS重定向行为，可从以下几方面着手：
1. 监测域名解析结果：插件可实时监测用户访问域名的解析IP地址。当发现解析到的IP与正常记录不符，尤其是指向陌生、可疑或已知恶意IP时，可能遭遇恶意DNS重定向。例如，某知名电商域名本应解析到固定IP，却突然解析到其他IP，就需警惕。
2. 分析网络请求流程：在用户发起访问请求后，插件跟踪整个网络请求过程。若请求在中途被无故重定向到其他域名，且该域名与原始目标无关，可能是恶意DNS重定向所致。比如用户想访问A网站，却被重定向到B网站，而B网站存在安全风险。
3. 对比可信DNS解析结果：插件可将当前域名的解析结果与可信的DNS解析服务进行对比。若两者不一致，说明可能存在恶意DNS重定向。比如使用公共DNS服务的解析结果作为参考，对比当前网络环境下的解析情况。
4. 检测异常网络流量：关注网络流量中的DNS查询和响应数据包。若出现大量异常的DNS查询请求，或者DNS响应数据包存在被篡改的迹象，如数据包内容异常、校验和错误等，可能是恶意DNS重定向的前兆。
5. 利用黑名单数据库：插件可内置或连接恶意域名黑名单数据库。当访问的域名或解析到的IP出现在黑名单中，很可能是遭遇了恶意DNS重定向。同时，定期更新黑名单数据库，以应对不断出现的新恶意域名。
6. 分析页面特征：即使域名解析正确，插件还可分析加载后的页面特征。若页面内容与预期不符，如出现大量广告、可疑的表单或异常的脚本代码，可能是被恶意DNS重定向到了伪造页面。