随着互联网的规模的迅速膨胀,黑客利用网络和系统脆弱性在网络上的进行的攻击活动每年都以极大的速度增长,越来越多的主机成为黑客攻击的目标,网络信息安全面临严峻挑战。DoS/DDoS攻击以其多发性、高破坏性、低实施难度和高抵御难度,已经成为互联网上的主要攻击方式之一。传统安全技术对DoS/DDoS的抑制效果并不明显,且难以实施。跳端口技术借鉴了跳频通信的思想,在通信过程中,通过主机通信端口的动态跳变,达到抵御端口扫描和端口攻击的目的。本文对跳端口技术在抗DoS/DDoS攻击中的应用进行了研究,并对跳端口方案进行改进,提出了基于序列密码的跳端口方案,从而在不增加计算和负载能力的情况下,提高系统对攻击的容忍能力。本方案使用非线性反馈移位寄存器(NLFSR)作为伪随机序列发生器,服务器和客户端使用Diffie-Hellman算法分配种子密钥,把NLFSR产生的伪随机序列作为输入参数,产生服务器使用的端口号。相比一般跳端口方案,这种方案的优点在于通信双方不需要事先约定跳端口方案,也不需要预先共享密钥,通信代价小,端口的约定是实时和随机的,且生成速度快,具有高安全性和高效率的特点。本方案涉及的关键技术主要有基于非线性反馈移位寄存器的序列密码技术、Diffie-Hellman密钥交换算法以及跳端口序列产生算法。系统由密钥分配模块、端口序列生成模块、通信模块、应用接口模块等组成。系统在Windows XP SP2操作系统环境下进行开发,采用了Microsoft的集成开发环境Visual Studio.Net,编程语言采用C++,系统开发在网络通信方面的系统调用主要涉及WinSock2.0。通过理论分析和仿真实验,对跳端口通信技术与定端口通信技术进行了比较。本文给出的跳端口通信方案能够在较低的通信代价下产生较好的伪随机端口序列,在防御端口扫描和小规模DoS/DDoS攻击方面具有较好的效果,方案具有较重要的理论意义和实用价值。