Wireshark

Como dijimos, se emplean para limitar el contenido de lo visualizado a lo que nosotros necesitamos:

• Podemos por ejemplo filtrar trafico especifico de un puerto. 
  tcp.port == 80

• Podemos utilizar  ip.addr
  

Con este último filtro capturamos todos los correos con origen y destino al dominio @hotmail.com, incluyendo usuarios, pass, etc.

ip.addr == xxx.xxx.xxx.xxx Con esta notación le decimos a wireshark que capture todos los paquetes con origen y destino con esa IP.

ip.scr == xxx.xxx.xxx.xxx Capturar con esta IP como origen.

ip.dst == xxx.xxx.xxx.xxx con esta última notación capturamos los paquetes con esa IP de destino.

Podemos usar también el operador != (que no sea igual a).

También podemops usar filtros que en vez de especificar IP, especifique direcciones Ethernet con eth.

También lo operadores lógicos como OR(||) y AND (&&).

ip.scr==80.x.x.x or ip.src==200.80.x.x.

ip.scr == 192.168.0.10 and ip.dst == 192.168.0.25.

• Podemos utilizar operadores mayor y menor que > <, pero tener en cuenta que compara la ip como un numero entero.
  

 192.168.24.252 es menor a 192.168.25.100

rango de ip    ip.scr >= 192.168.24.100 and ip.scr < 192.168.24.200

mas información sobre los filtros https://wiki.wireshark.org/DisplayFilters.