由于域用户枚举是用过发送大量的AS-REQ请求包，根据返回包的内容筛选出存在的域用户。因此可以通过以下方法进行检测。

• 流量层面的话，可以通过检测同一IP地址在短时间内是否发送了大量的AS-REQ请求包来判断。如果同一IP短时间内发送的大量的AS-REQ请求包（如1分钟>30 AS-REQ包），则可判断为异常。
• 日志层面的话，默认情况下域用户枚举并不会对不存在的用户名发起AS-REQ请求包产生任何事件日志，因此日志层面不太好检测。

默认情况下Windows系统的日志并不会记录对不存在用户名发起的AS-REQ请求包的日志。如果想开启此记录，需要去组策略中配置审核策略和高级审核策略。并且日志的记录还和通信的KDC有关，如果域中存在多个域控，则不同域控上记录的日志并不相同，并不是每个KDC上都会记录所有的日志。