Фильтры для Wireshark

по IP адресу ip.addr:

ip.addr == 10.0.0.1

или по двум (просмотреть что эти узлы пересылали между собой):

ip.addr==10.0.0.1 && ip.addr==10.0.0.2

по mac адресу, или по определенным его байтам ([начало:длинна], например код производителя)
eth.addr или wlan.addr для трафика беспроводной сети:

eth.addr == 08:00:27:4D:8F:72
eth.addr[0:3]==00:06:5B

по протоколу (здесь по двум, либо один либо другой)^

http or dns

по порту (tcp.port или udp.port):

tcp.port==4000

по специфике работы протокола. Например, по HTTP запросам (GET):

http.request

по содержимому contains, по тексту. Показать все TCP пакеты, что содержат слово ‘traffic’. Удобно для поиска определенного текста или идентификатора:

tcp contains traffic 

http constains password

 по содержимому, по 16-му значению:

udp contains 33:27:58

содержимое по регулярному выражению

протокол matches регулярное_выражение

по протоколам. Отфильтровать лишние ! (например arp, icmp и dns) протоколы, чтобы сконцентрироваться на остальных:

!(arp or icmp or dns)

Ссылки

Youtube: семнинар «Специалист» по Wireshark
wireshark wiki: DisplayFilters