一、按IP地址过滤

1、查看源IP为 xx 的包

ip.src==IP地址
例如：ip.src==172.18.10.56

2、查看目标IP为 xx 的包 

ip.dst==IP地址
例如：ip.dst==172.16.76.251

3、查看源或目标IP为 xx 的包  

ip.addr==IP地址
例如：ip.addr==172.18.10.56

二、按MAC地址过滤的包

1、查看源MAC为 xx 的包

eth.src==MAC地址
例如：eth.src==00-50-58-C0-00-09

2、查看目标MAC为 xx 的包

eth.dst==MAC地址
例如：eth.dst==00-50-58-C0-00-09

3、查看源或目标MAC为 xx 的包

eth.addr==MAC地址
例如：eth.addr==00-50-58-C0-00-09

三、按MAC地址过滤的包

1、过滤tcp端口为80的包

tcp.port==TCP端口号
例如：tcp.port==80

2、过滤源端口为80的包

tcp.srcport==TCP端口号
例如：tcp.srcport==80

3、过滤目标端口为80的包

tcp.dstport==TCP端口号
例如：tcp.dstport==80

四、按协议类型过滤的包

1、过滤arp协议的包

协议名
例如：arp

 2、过滤dhcp协议的包

协议名
例如：dhcp

3、过滤https协议的包 

协议名
例如：https

五、规则组合

1、and

查看dhcp包，并且只想看某台电脑的dhcp包

协议名 and eth.addr=MAC地址
例如：dhcp and eth.addr==D8-BB-C1-9C-94-FC

2、or

查看dhcp或者arp包

协议名 and 协议名
例如：dhcp and arp

3、!

查看除了arp以外的其他包

!协议名
例如：!arp