| Фильтр | Описание |
| ip | Показывать только IPv4 |
| ipv6 | Показывать только IPv6 |
| tcp | Только TCP |
| udp | Только UDP |
| arp | Только ARP |
| dns | Только DNS |
| icmp | Только ICMP |
| http | Только HTTP |
| tls | Только TLS 1.2/1.3 |
| ssh | SSH-пакеты |
| smtp | SMTP |
| dhcp | DHCP |
| bootp | DHCP (старое название) |
| smb2 | SMB2/3 |
| Фильтр | Описание |
| ip.addr == 192.168.0.10 | Любой пакет с участием хоста |
| ip.src == 192.168.0.10 | Только пакеты от хоста |
| ip.dst == 192.168.0.10 | Только пакеты к хосту |
| ipv6.addr == fe80::1 | Аналогично для IPv6 |
| tcp.port == 443 | Пакеты TCP c портом 443 |
| udp.port == 53 | Пакеты UDP с портом 53 |
| tcp.srcport == 8443 | Источник — порт 8443 |
| tcp.dstport == 80 | Назначение — порт 80 |
| udp.dstport == 67 || udp.dstport == 68 | 67 или 68 udp порт |
| ip.src == 192.168.1.199 | Source IP address |
| ip.src == 192.168.1.199 || ip.dst == 192.168.1.199 | source ip == 192.168.1.199 or Destination ip == 192.168.1.199 |
| (ip.src == 192.168.1.199) || (ip.dst == 192.168.1.199) | OR condition |
| (ip.src == 192.168.1.199) && (ip.dst == 192.168.1.1) | AND condition |
| ssl.handshake.version==0x0301 | SSLv3 0x0300,TLSv1 0x0301,TLS 1.1 0x0302 and TLS 1.2. 0x0303 |
| Фильтр | Описание |
| && | AND (и) |
| || | OR (или) |
| ! | NOT (не) |
Пример:
ip.src == 192.168.0.1 && tcp.port == 22
| Фильтр | Описание |
| !arp | Исключить ARP |
| !icmp | Исключить ICMP |
| !(arp || icmp) | Исключить оба |
| !(mdns || ssdp) | Убрать multicast Discovery шум (IoT) |
| Фильтр | Описание |
| tcp.flags.syn == 1 | Только SYN |
| tcp.flags.ack == 1 | Только ACK |
| tcp.flags.reset == 1 | Только RST |
| tcp.flags.fin == 1 | FIN пакеты |
| tcp.flags.syn == 1 && tcp.flags.ack == 0 | Чистый SYN скан |
| tcp.analysis.retransmission | Повторные передачи |
| tcp.analysis.fast_retransmission | Быстрые повторные передачи |
| tcp.analysis.out_of_order | Пакеты не по порядку |
| tcp.analysis.zero_window | Zero Window |
| tcp.analysis.keep_alive | Keep-Alive |
| tcp.analysis.flags | Диагностика TCP |
| Фильтр | Описание |
| http.request | HTTP-запросы |
| http.response | HTTP-ответы |
| http.request.method == "GET" | Только GET |
| http.request.method == "POST" | Только POST |
| http.host == "example.com" | Запросы на host |
| http.user_agent | Показать User-Agent |
| http.cookie | Показать cookies |
| http.set_cookie | Set-Cookie заголовки |
| Фильтр | Описание |
| dns | Все DNS |
| dns.qry.name == "example.com" | Запрос домена |
| dns.flags.rcode != 0 | Ошибки ответа |
| dns.resp.type == CNAME | Только CNAME |
| dns.resp.type == A | Только A |
| dns.resp.type == AAAA | Только AAAA |
| Фильтр | Описание |
| tls | TLS 1.2/1.3 |
| ssl | Старый SSL |
| tls.handshake | Handshake сообщения |
| tls.handshake.type == 1 | ClientHello |
| tls.handshake.type == 2 | ServerHello |
| tls.record.version == 0x0301 | TLS 1.0 |
| tls.record.version == 0x0303 | TLS 1.2 |
Для поиска downgrade:
tls.handshake.version < tls.record.version
| Фильтр | Описание |
| bootp.type == 1 | Discover/Request |
| bootp.type == 2 | Offer/ACK |
| bootp.option.dhcp == 5 | DHCP ACK |
| bootp.option.hostname | Hostname клиентов |
| bootp.option.requested_ip_address | Requested IP |
| Фильтр | Описание |
| smb2 | SMB2/3 трафик |
| smb2.cmd == 0x05 | SMB2 Create |
| smb2.cmd == 0x08 | SMB2 Read |
| smb2.cmd == 0x09 | SMB2 Write |
| smb2.cmd == 0x0B | SMB2 Close |
| Фильтр | Описание |
| wlan | Все Wi-Fi кадры |
| wlan.fc.type == 0 | Management |
| wlan.fc.type == 1 | Control |
| wlan.fc.type == 2 | Data |
| wlan.ta == xx:xx:xx:xx:xx:xx | Transmitter (STA) |
| wlan.da == xx:xx:xx:xx:xx:xx | Destination |
| wlan.ssid | SSID |