第一层过滤：

1. type（类型）限定词

host 、 net、port、portange

2. dir（方向）限定词

src、dst

3. proto（协议）限定词

ether、arp、icmp、ip、tcp、udp、http、ftp

例：

Protocol Direction Host（s）  Value Logical operation Other expression

tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2.3128

第二层过滤：（Ethernet过滤器）

1. ether host<> : 抓取指定的以太网流量（源或目的MAC地址）

如：ether host 1C-6F-65-5D-EB-94

2. ether dst<> : 抓取去往指定目的MAC的以太网流量

如：ether dst host 1C-6F-65-5D-EB-94

或：ether dst 1C-6F-65-5D-EB-94

3. ether src<> : 抓取来源指定源MAC的以太网流量

如：ether src1C-6F-65-5D-EB-94

4. ether broadcast : 抓取以太网广播流量 （只抓取目标地址为FFF的，相当于 ether host ff:ff:ff:ff:ff:ff）

5. ether multicast : 抓取以太网多播流量 

Ipv4 组播（Ipv4mcast）是由01:00:5e 开头 

Ipv6组播（Ipv6mcast）是由33:33:开头

例：ether multicast 01:00:5e

6. ether proto<> : 所抓指定的以太网协议类型的流量

如： ether proto 0x0806 （ARP 的数据包）

ether proto 0x0800 （Ipv4的数据包）

ether proto 0x86dd （Ipv6的数据包）

如果没有ARP的包可以ping一个找不到的地址就可以了。

例：ping 192.168.1.188

7. vlan<> : 只抓取指定vlan 的流量

如： vlan2 !vlan2 vlan2 && vlan3 vlan2 || vlan3