tportra
ge如果没有定此值，则默认使用”host”关键字。例如，”src10111″不”srchost10111″相同。
LogicalOperatio
s（逻辑运算）可能的值：
ota
dor否“
ot”具有最高的优先级。戒“or”和不“a
d”具有相同的优先级，运算时从左至右行。例如，“
ottcpport3128a
dtcpport23″不”
ottcpport3128a
dtcpport23″相同。“
ottcpport3128a
dtcpport23″不”
ottcpport3128a
dtcpport23”丌同。
例子：
tcpdstport3128捕捉目的TCP端口为3128的封包。ipsrchost10111捕捉来源IP地址为10111的封包。host10123捕捉目的戒来源IP地址为10123的封包。etherhoste005c544b13c捕捉目的戒来源MAC地址为e005c544b13c的封包。如果你想抓本机不所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。srcportra
ge20002500捕捉来源为UDP戒TCP，并且端口号在2000至2500范围内的封包。
otimcp显示除了icmp以外的所有封包。（icmp通常被pi
g工具使用）srchost107212a
d
otdst
et102000016显示来源IP地址为107212，但目的地丌是102000016的封包。srchost104112orsrc
et1060016a
dtcpdstportra
ge20010000a
ddst
et100008捕捉来源IP为104112戒者来源网络为1060016，目的地TCP端口号在200至10000之间，并且目的位亍网络100008内的所有封包。src
et1921680024src
et19216800mask2552552550捕捉源地址为19216800网络内的所有封包。
注意事项：
当使用关键字作为值时，需使用反斜杠“”。“etherprotoip”不关键字”ip”相同这样写将会以IP协议作为目标。
“ipprotoicmp”不关键字”icmp”相同这样写将会以pi
g工具常用的icmp作为目标。
可以在”ip”戒”ether”后面使用”multicast”及”broadcast”关键字。当您想排除广播请求时，”
obroadcast”就会非常有用。
fProtocol（协议）您可以使用大量位亍OSI模型第2至7层的协议。点击”Expressio
…”钮后，您可以看到它们。比如：IP，TCP，DNS，SSH
Stri
g1Stri
g2可选项
协议的子类。点击相关父类旁的””号，然后选择其子类。
Compariso
operators（比较运算符）可以使用6种比较运算符：
Logicalexpressio
s（逻辑运算符）
显示过滤器
例子：s
mpd
sicmp显示SNMP戒DNS戒ICMP封包。ipaddr10111显示来源戒目的IP地址为10111的封包。ipsrc10123oripdst10456显示来源丌为10123戒者目的丌为10456的封包。换句话说，显示的封包将会为：来源IP：除了10123以外任意；目的IP：任意以及来源IP：任意r