以下说法错误的是（25）。

2023-09-01

A. 依靠独立主机审计的方式，可以分析端口扫描之类的攻击。
B. TCP FIN扫描是向目标端口发送一个FIN分组
C. TCP SYN扫描没有建立完整的TCP连接
D. TCP connect扫描会与目标系统完成一次完整的三次握手过程。

参考答案：A

解析：单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在：
（1）主机的审计信息弱点，如易受攻击、入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。
（2）不能通过分析主机的审计记录来检测网络攻击（域名欺骗、端口扫描等）。
端口扫描有下面几种主要方法：
（1）TCP connect扫描。使用系统提供的connect（）函数来连接目标端口，与目标系统完成一次完整的三次握手过程。如果目标端口正在监听connect（）就成功返回，否则，说明该端口不可访问。
（2）TCP SYN扫描。这种方法也叫“半打开扫描（Half-open Scanning）”。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接，如果收到一个来自服务器的SYN／ACK应答，那么可以推断该端口处于监听状态。如果收到一个RST／ACK分组则认为该端口不在监听。而客户端不管收到的是什么样的分组，都向服务器发送一个RST／ACK分组，这样并没有建立一个完整的TCP连接，但客户端能够知道服务器某个端口是否开放。该扫描不会在目标系统上产生日志。
（3）TCP FIN扫描是向目标端口发送一个FIN分组。