常用 Wireshark filter 寫法

(ip.addr == xxxx or ip.addr == yyyy) and eth.dst == ff:ff:ff:ff:ff:ff and frame.number < 405505

上述 filter 表示我要篩選 IP 等於 xxxx 或 yyyy 並且 mac address 的目的地是廣播位址並加上封包編號小於 405505（Wireshark 抓封包時的編號） 的封包。

!ip.addr == zzzz

則是表示不要 IP 等於 zzz 的封包。