// Nur SMTP (port 25) and ICMP anzeigen:
tcp.port eq 25 or icmp

// Nur traffic im LAN (192.168.x.x) zwischen Workstations und Servern:
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

// Voller TCP buffer - Die Quelle fordert das Ziel auf keine Daten mehr zu senden
tcp.window_size == 0 && tcp.flags.reset != 1

// Filter für Windows Active Directory Traffic
smb || nbns || dcerpc || nbss || dns

// Sasser worm:
ls_ads.opnum==0x09

// Mit contains kann man nach bestimmten Bytefolgen in einem Paket suchen. Muss in Hex angegeben werden.
udp contains 81:60:03

// Filtere Pakete mit einer 3-byte sequenz 0x81, 0x60, 0x03 am Anfang des UDP payload, der 8-byte UDP header wird ausgelassen.
udp[8:3]==81:60:03

// Oder den Vendor Teil von Mac Addressen
eth.addr[0:3]==00:06:5B

// Pakete mit einem SIP To-header der den String "a1762" beinhaltet:
sip.To contains "a1762"

// Der ~ Operator ermöglicht die Suche nach Text in Zeichenfolgenfeldern und Bytesequenzen mithilfe eines regulären Ausdrucks unter Verwendung der Perl-Syntax für reguläre Ausdrücke. Wireshark muss mit libpcre erstellt werden, um den Übereinstimmungsoperator verwenden zu können.

// HTTP requests wo am Ende der URI steht "gl=se". 
http.request.uri matches "gl=se$"

// Filter SIP Pakete aber schliesse bestimmte IPs aus dem Ergebnis aus
ip.src != xxx.xxx.xxx.xxx && ip.dst != xxx.xxx.xxx.xxx && sip

// Mit Wireshark 4.0+ können Sie ein bestimmtes Auftreten eines Felds auswählen. Um den Ebenenoperator zu verwenden, setzen Sie einfach ein Nummernzeichen und eine Ebenennummer nach einem Feld. Wenn wir beispielsweise ein GRE-Paket mit äußeren und inneren IPv4-Schichten haben,

ip.src#1 == 10.1.2.3

wird mit der äußeren Adresse übereinstimmen,

ip.src#2 == 10.1.2.3

stimmt mit der inneren Adresse überein, und

ip.src == 10.1.2.3

stimmt mit beiden Adressen überein.

• Wireshark CLI manpage explained