Ciao a tutti.
come faccio a capire se il traffico in ingresso che il firewall mi blocca è veramente maligno e a che cosa è dovuto? Dove posso trovare una guida sulle porte utilizzate in modo da capire quale servizio o programma usa quella porta?

Beh, per vedere su il traffico bloccato è maligno ti consiglio di scriverti da qualche parte l'ip e vedere se cambia spesso...
Prova ad andare su siti tipo whoisthis (non ricordo l'indirizzo) che ti permettono, inserendo l'ip, di risalire al "mittente" dei pacchetti...
Un altro metodo è quello di usare programmi tipo VisualRoute: inserisci l'ip e su una mappa del mondo ti appare il percorso dei pacchetti + varie info...

Esistono anche metodi manuali: Vai sul prompt del dos e scrivi netstat -a ... apparirà la lista dei siti a cui sei connesso. Se sei connesso a yahoo verrà fuori il nome di yahoo e la porta utilizzata...
Ovviamente se hai il firewall hardware o che blocca le connessioni senza che vengano rilevate dal dos, beh, allora devi prima disabilitarlo...
Poi procedi come detto sopra...
Manuali sulle porte del pc ce ne sono a bizzeffe...

le porte più usate sono:

7 echo (ping,...)
20-21 ftp (dati,ic)
23 telnet
25 smtp
80 html
110 pop3
135 rpc (attenzione al worm blaster)
69 tftp
139 netbios se attivato...
Ce ne sono molte altre (65k) di cui le prime 1024 associate a servizi specifici...