La mayoría de las veces las capturas de tráfico suelen ser bastante extensas, dependiendo el tamaño de la red, servicios y complejidad de la misma. En estos casos es pertinente filtrar el tráfico con el fin de facilitar el posterior análisis.
FIltros por IP
# Filtrar por la IP del host
ip.addr == <Host_IP>
#Filtrar según sea origen
ip.src == <Host_IP>
#Filtrar según sea destino
ip.dst == <Host_IP>
#Excluír 2 direcciones IP que no necesito
not(ip.addr == Host_IP)and not(ip.addr == Host_IP)
Filtros por puerto
tcp.port == 80Filtros por protocolo
#Para ver peticiones ARP
eth.type == 0x0806
#También se puede utilizar el filtro
arp
#DNS
dns
#HTTP
httpFiltros por flag
#Bandera ACK viene vacía o Nula,interesante para detectar escaneos sigilosos
tcp.flags.ack==0
#Paquetes malformados, o repetidos en la transmisión.
tcp.analysis.flagsFiltros combinados
#Debe ser con OR ya que con and no se cumple el criterio
dns or http
#Filtro para eliminar ruído en las capturas de tráfico
!(arp or dns or ssdp or stp)