The Slammer worm spread so quickly that human response was ineffective. In January 2003, it packed a benign payload, but its disruptive capacity was surprising. Why was it so effective and what new challenges do this new breed of worm pose?.

On July 19, 2001, more than 359,000 computers connected to the Internet were infected with the Code-Red (CRv2) worm in less than 14 hours. The cost of this epidemic, including subsequent strains of Code-Red, is estimated to be in excess of $2.6 billion. Despite the global damage caused by this attack, there have been few serious attempts to characterize the spread of the worm, partly due to the challenge of collecting global information about worms. Using a technique that enables global detection of worm spread, we collected and analyzed data over a period of 45 days beginning July 2nd, 2001 to determine the characteristics of the spread of Code-Red throughout the Internet.In this paper, we describe the methodology we use to trace the spread of Code-Red, and then describe the results of our trace analyses. We first detail the spread of the Code-Red and CodeRedII worms in terms of infection and deactivation rates. Even without being optimized for spread of infection, Code-Red infection rates peaked at over 2,000 hosts per minute. We then examine the properties of the infected host population, including geographic location, weekly and diurnal time effects, top-level domains, and ISPs. We demonstrate that the worm was an international event, infection activity exhibited time-of-day effects, and found that, although most attention focused on large corporations, the Code-Red worm primarily preyed upon home and small business users. We also qualified the effects of DHCP on measurements of infected hosts and determined that IP addresses are not an accurate measure of the spread of a worm on timescales longer than 24 hours. Finally, the experience of the Code-Red worm demonstrates that wide-spread vulnerabilities in Internet hosts can be exploited quickly and dramatically, and that techniques other than host patching are required to mitigate Internet worms.

In this article, we seek to address a simple question: “How prevalent are denial-of-service attacks in the Internet?” Our motivation is to quantitatively understand the nature of the current threat as well as to enable longer-term analyses of trends and recurring patterns of attacks. We present a new technique, called “backscatter analysis,” that provides a conservative estimate of worldwide denial-of-service activity. We use this approach on 22 traces (each covering a week or more) gathered over three years from 2001 through 2004. Across this corpus we quantitatively assess the number, duration, and focus of attacks, and qualitatively characterize their behavior. In total, we observed over 68,000 attacks directed at over 34,000 distinct victim IP addresses---ranging from well-known e-commerce companies such as Amazon and Hotmail to small foreign ISPs and dial-up connections. We believe our technique is the first to provide quantitative estimates of Internet-wide denial-of-service activity and that this article describes the most comprehensive public measurements of such activity to date.

The packet pair technique estimates the capacity of a path (bottleneck bandwidth) from the dispersion (spacing) experienced by two back-to-back packets [1][2][3].We demonstrate that the dispersion of packet pairs in loaded paths follows a multimodal distribution, and discuss the queueing effects that cause the multiple modes.We show that the path capacity is often not the global mode, and so it cannot be estimated using standard statistical procedures.The effect of the size of the probing packets is also investigated, showing that the conventional wisdom of using maximum sized packet pairs is not optimal.We then study the dispersion of long packet trains.Increasing the length of the packet train reduces the measurement variance, but the estimates converge to a value, referred to as Asymptotic Dispersion Rate (ADR), that is lower than the capacity.We derive the effect of the cross traffic in the dispersion of long packet trains, showing that the ADR is not the available bandwidth in the path, as was assumed in previous work.Putting all the pieces together, we present a capacity estimation methodology that has been implemented in a tool called pathrate.

It has been clear since 1988 that self-propagating code can quickly spread across a network by exploiting homogeneous security vulnerabilities. However, the last few years have seen a dramatic increase in the frequency and virulence of such "worm" outbreaks. For example, the Code-Red worm epidemics of 2001 infected hundreds of thousands of Internet hosts in a very short period - incurring enormous operational expense to track down, contain, and repair each infected machine. In response to this threat, there is considerable effort focused on developing technical means for detecting and containing worm infections before they can cause such damage. This paper does not propose a particular technology to address this problem, but instead focuses on a more basic question: How well will any such approach contain a worm epidemic on the Internet? We describe the design space of worm containment systems using three key parameters - reaction time, containment strategy and deployment scenario. Using a combination of analytic modeling and simulation, we describe how each of these design factors impacts the dynamics of a worm epidemic and, conversely, the minimum engineering requirements necessary to contain the spread of a given worm. While our analysis cannot provide definitive guidance for engineering defenses against all future threats, we demonstrate the lower bounds that any such system must exceed to be useful today. Unfortunately, our results suggest that there are significant technological and administrative gaps to be bridged before an effective defense can be provided in today's Internet.

The authors develop and test a theory of how public service advertisements function to induce helping responses. Building on Lazarus's general theory of emotion and adaptation, they hypothesize that public service ads designed to reduce the incidence of child abuse stimulate negative emotions; these, in turn, lead to empathic reactions and end with the decision to help. Two field experiments are conducted to test the theory.

Network operators need to determine the composition of the traffic mix on links when looking for dominant applications, users, or estimating traffic matrices. Cisco's NetFlow has evolved into a solution that satisfies this need by reporting flow records that summarize a sample of the traffic traversing the link. But sampled NetFlow has shortcomings that hinder the collection and analysis of traffic data. First, during flooding attacks router memory and network bandwidth consumed by flow records can increase beyond what is available; second, selecting the right static sampling rate is difficult because no single rate gives the right tradeoff of memory use versus accuracy for all traffic mixes; third, the heuristics routers use to decide when a flow is reported are a poor match to most applications that work with time bins; finally, it is impossible to estimate without bias the number of active flows for aggregates with non-TCP traffic.In this paper we propose Adaptive NetFlow, deployable through an update to router software, which addresses many shortcomings of NetFlow by dynamically adapting the sampling rate to achieve robustness without sacrificing accuracy. To enable counting of non-TCP flows, we propose an optional Flow Counting Extension that requires augmenting existing hardware at routers. Both our proposed solutions readily provide descriptions of the traffic of progressively smaller sizes. Transmitting these at progressively higher levels of reliability allows graceful degradation of the accuracy of traffic reports in response to network congestion on the reporting path.

On Friday, 19 March 2004, at approximately 8:45 p.m. Pacific Standard Time (PST), an Internet worm began to spread, targeting a buffer overflow vulnerability in several Internet Security Systems (ISS) products, including its RealSecure Network, RealSecure Server Sensor, RealSecure Desktop, and BlackICE. The worm took advantage of a security flaw in these firewall applications that eEye Digital Security discovered earlier in March. Once the Witty worm - so called because its payload contained the phrase, "(^,^)insert witty message here (^,^)" - infects a computer, it deletes a randomly chosen section of the hard drive, which, over time, renders the machine unusable. We share a global view of the worm's spread, with particular attention to its features.

The phosphatidyl ethanolamine-binding protein (PEBP) gene family is present in all eukaryote kingdoms, with three subfamilies identified in angiosperms (FLOWERING LOCUS T [FT], MOTHER OF FT AND TFL1 [MFT], and TERMINAL FLOWER1 [TFL1] like). In angiosperms, PEBP genes have been shown to function both as promoters and suppressors of flowering and to control plant architecture. In this study, we focus on previously uncharacterized PEBP genes from gymnosperms. Extensive database searches suggest that gymnosperms possess only two types of PEBP genes, MFT-like and a group that occupies an intermediate phylogenetic position between the FT-like and TFL1-like (FT/TFL1-like). Overexpression of Picea abies PEBP genes in Arabidopsis (Arabidopsis thaliana) suggests that the FT/TFL1-like genes (PaFTL1 and PaFTL2) code for proteins with a TFL1-like function. However, PaFTL1 and PaFTL2 also show highly divergent expression patterns. While the expression of PaFTL2 is correlated with annual growth rhythm and mainly confined to needles and vegetative and reproductive buds, the expression of PaFTL1 is largely restricted to microsporophylls of male cones. The P. abies MFT-like genes (PaMFT1 and PaMFT2) show a predominant expression during embryo development, a pattern that is also found for many MFT-like genes from angiosperms. P. abies PEBP gene expression is primarily detected in tissues undergoing physiological changes related to growth arrest and dormancy. A first duplication event resulting in two families of plant PEBP genes (MFT-like and FT/TFL1-like) seems to coincide with the evolution of seed plants, in which independent control of bud and seed dormancy was required, and the second duplication resulting in the FT-like and TFL1-like clades probably coincided with the evolution of angiosperms.

Despite wide endorsement of a biopsychosocial framework for pain, social aspects of pain remain rarely addressed in the context of pain prevention and management. In this review, we aim to 1) examine the broad scope of social determinants and consequences of pain and their interactions across multiple levels of organization, and 2) provide a framework synthesizing existing concepts and potential areas for future work on social aspects of pain, drawing upon socioecological, intersectional, and life course approaches. Integrating interdisciplinary theory and evidence, we outline pathways through which multilevel social factors and pain may affect each other over time. We also provide a brief summary of intrapersonal aspects of pain, which are thought to operate at the interface between individuals and the social context. Progressing from micro- to macrolevel factors, we illustrate how social determinants of pain can directly or indirectly contribute to pain experiences, expression, risk, prognosis, and impact across populations. We consider 1) at the interpersonal level, the roles of social comparison, social relatedness, social support, social exclusion, empathy, and interpersonal conflict; 2) at the group or community level, the roles of intimacy groups, task groups, social categories, and loose associations; and 3) at the societal level, the roles of political, economic, and cultural systems, as well as their policies and practices. We present examples of multilevel consequences of pain across these levels and discuss opportunities to reduce the burden and inequities of pain by expanding multilevel social approaches in pain research and practice. PERSPECTIVE: Despite wide endorsement of a biopsychosocial framework for pain, social aspects of pain are often unclearly defined, hindering their use in pain prevention, management, and research. We summarize the scope of social aspects of pain and provide a framework synthesizing existing concepts and potential areas for future work.