例子:

以太网例子：抓取网络 08:00:08:15:ca:fe 上所有流入流出的包
ether host 08:00:08:15:ca:fe IP地址例子：抓取IP地址 192.168.0.10 上所有流入流出的数据包
host 192.168.0.10

协议例子：抓取 80 端口上的所有流入流出的TCP协议的包。
tcp port 80

组合例子：抓取 192.168.0.10 上除 http 之外的所有流入流出的数据包
host 192.168.0.10 and not tcp port 80 注意：如果用了抓取TCP/IP数据包的关键字”host”、”port”，结果将是忽略所有ARP数据包。

捕获过滤用语法

[x] x 为可选内容
a|b 选 a 或 b
x 为必选
xyz xyz 为关键字，不可改变，必需。

[not] primitive [and|or [not] primitive …]
与、或、非 = and、or、not

A primitive is simply one of the following: [src|dst] host
尖括号里的是一个主机IP或主机名字，用src、dst来设定这是目的地址或源地址。
这个选项能过滤主机IP和名字

ether [src|dst] host
尖括号里的是一个网络地址，用src、dst来设定这是目的地址或源地址。

gateway host
是一个网关，抓取流过 的数据包，但这些数据包的目的地址和源地址都不是 。

[src|dst] net [{mask }|{len }]
表示一个网络地址，可以用 src、dst来表示这个网络是目的地址还是源地址的数据包。如果没有”src/dst”，表示全部数据包。可以选择加上子网掩码或使用无类型域间选路（CIDR）的方式。

[tcp|udp] [src|dst] port
[tcp|udp]是选择抓取的协议类型，指定端口。需要注意的是，[tcp|udp]必需在[src|dst]之前。

less|greater
抓取碎片数据包或指定长度的数据包。less 与 greater 分别对应小包与大包。

ip|ether proto
在数据链路层上，在指定的IP地址或网络地址(ip|ether)上抓取指定协议的数据包。

ether|ip broadcast|multicast
在指定的网络地址或IP地址上抓取广播包或组播包。