• ip.addr==1.1.10.180
• ip.src==1.1.10.180
• ip.dst==1.1.10.180

过滤端口：

• tcp.port==8820
• tcp.srcport==8800
• tcp.dstport==8800

过滤长度：

• tcp.len>500

过滤协议：

• tcp

另，

• 多个过滤同时支持，在条件间使用&&连接
• 多个过滤支持其一，在条件间使用 or
• 要排除过滤条件，使用!

筛选指定IP和端口号

• ip.addr == 192.20.31.118 && tcp.port == 7777

筛选带有某一标志位的报文

• tcp.flags.syn == 1

• tcp.flags.fin == 1
• tcp.flags.reset == 1

筛选重传报文

• tcp.analysis.fast_retransmission || tcp.analysis.retransmission

筛选源IP为指定IP的ICMP报文：

• icmp && ip.src == 172.20.31.130

筛选目的IP为指定IP的ICMP报文：

• icmp && ip.dst == 172.20.31.130

筛选源或目的IP为指定IP的ICMP报文：

• icmp && ip.addr == 172.20.31.130

去掉ICMP报文：

• !icmp