过滤主机
host 192.168.0.1 #仅捕获包含192.168.0.1的帧
src host 192.168.0.1 #仅捕获源ip是192.168.0.1的帧
dst host 192.168.0.1 #仅捕获源ip是192.168.0.1的帧
过滤网段
net 192.168.0.0/24 #仅捕获包含192.168.0.0/24网段的帧
src net 192.168.0.0/24 #仅捕获源是192.168.0.0/24网段的帧
dst net 192.168.0.0/24 #仅捕获目标是192.168.0.0/24网段的帧
过滤端口
port 53 #仅捕获包含53端口(DNS)的帧
port 53 or port 80 #仅捕获包括53端口和80端口的帧
not port 53 #仅捕获不包括53端口的帧
port not 53 or not 80 #仅捕获不包括53和80端口的帧
tcp portrange 1500-1600 #仅捕获tcp端口范围在1500-1600的帧
not tcp portrange 1500-1600 #仅捕获tcp端口范围不在1500-1600的帧,把not写在最前面亦可
过滤协议
ether proto 0x0800 #捕获ethernetV2类型字段是0800,即上层是ip的帧
ip #仅捕获包含ip协议的帧
vlan 3 or vlan 4 #仅捕获包含vlan3和vlan4的帧
host www.baidu.com and not (port 80 or port 25) #应用层包含百度的域名但是不包括80端口和25端口
排除
not broadcast and not multicast #排除广播和多播
not ether dst 01:80:c2:00:00:0e #排除包括目标mac的帧
组合过滤
port not 53 or not HTTP #端口与应用层协议的组合,仅捕获不包含53端口和80端口的帧
vlan 3 and (host 192.168.0.1 and port 80) #仅捕获vlan 3当中192.168.0.1主机访问80端口的帧