一、IP过滤:包括来源IP或者目标IP等于某个IP
ip.addr == 192.168.0.208
二、MAC地址
eth.addr==00-15-65-bb-b1-17
三、端口过滤
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
四、协议过滤:
tcp、udp、arp、icmp、http、bootp(dhcp的协议)、ipv6、ICMPv6。。。。
五、包长度过滤:
tcp.len >= 7
udp.length == 26
六、连接符 and / or
eth.addr==00-15-65-b3-8e-e5 && icmpv6
七、表达式:
!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
参考资料: http://www.0x50sec.org/category/hack-tools/
https://wiki.wireshark.org/SampleCaptures