ip.addr==10.0.0.5

ip.addr!=10.0.0.5

frame.pkt_len>10

frame.pkt_len<128

frame.pkt_len ge 0x100

frame.pkt_len <= 0x20

ip.addr==10.0.0.5 and tcp.flags.fin

ip.addr==10.0.0.5 or ip.addr==192.1.1.1

tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29

not llc

Wireshark允许选择一个序列的子序列。在标签后你可以加上一对[]号，在里面包含用逗号(是不是冒号？)分离的列表范围。

eht.src[0:3] == 00:00:83

上例使用n:m格式指定一个范围。在这种情况下，n是起始位置偏移(0表示没有偏移，即是第一位，同理1表示向右偏移一位，便是第二位)，m是从指定起始位置的区域长度。

eth.src[1-2] == 00:83

上例使用n-m格式一个范围。在本例中n表示起始位置偏移,m表示终止位置偏移

eth.src[:4]=00:00:83:00

上例使用:m格式，表示从起始位置到偏移偏移位置m。等价于0:m

eth.src[4:]=20:20

上例使用n:格式，表示从最后位置偏移n个序列

eht.src[2] == 83

上例使用 n 形式指定一个单独的位置。在此例中中序列中的单元已经在偏移量n中指定。它等价于n:1

eth.src[0:3,102,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83

Wireshark 允许你将多个分号隔开的列表组合在一起表示复合区域，如上例所示