La risposta breve è: Tutto.
Quando il traffico lascia la tua casa, è nel dominio del tuo ISP e non c'è modo di evitarlo.
La lunga risposta è più complicata. Se si utilizza la crittografia laddove possibile, i payload non sarebbero utilizzabili per la visualizzazione (potrebbe essere possibile decrittografare un pacchetto, con un tempo e una potenza di elaborazione sufficienti, ma non è un utilizzo sostenibile delle risorse).
Quello che possono sicuramente vedere è l'informazione di dove sta andando. Indirizzo IP, numero di porta e sotto sono considerati pubblici, a tutti gli effetti. Possono vedere dove sei andato, e quando, ma non quello che hai fatto.
Il fattore attenuante qui è dove introduci un ulteriore passaggio tra te e la tua destinazione. Una VPN, ad esempio, crittografa tutto il traffico e lo passa così come è per l'endpoint VPN. Da lì, agisce come se stessi sfogliando da quell'endpoint. L'ISP per il prossimo passaggio vedrebbe che qualcuno ha visitato Google, ma il tuo account è separato da esso.