筛选表达式实际上是一个（或者多个）逻辑表达式
如果要筛选出某个协议的报文比如 tcp, udp, arp, 等等的话。直接输入协议名称即可

源端口等于某个值，比如是 22的报文。怎么做？
tcp.srcport eq 22

目标端口等于某个值，比如是 22的报文。怎么做？
tcp.dstport eq 22

源端口不等于某个值，比如是 22的报文
tcp.srcport ne 22

目标端口不等于某个值，比如是 22的报文
tcp.dstport ne 22

源主机等于某个值，比如是 172.20.58.135。怎么做？
ip.src_host eq 172.20.58.135

目标主机等于某个值，比如是 172.20.58.136。怎么做？
ip.dst_host eq 172.20.58.136

源主机不等于某个值，比如是 172.20.58.135。怎么做？
ip.src_host ne 172.20.58.135

目标主机不等于某个值，比如是 172.20.58.136。怎么做？
ip.dst_host ne 172.20.58.136

假如多个条件都得满足。怎么做？
源主机和源端口等于 172.20.58.135 和 22
ip.src_host eq 172.20.58.135 and tcp.srcport eq 22

也可以用括号括起来
(ip.src_host eq 172.20.58.135) and (tcp.srcport eq 22)

如果是 “或” 的关系。怎么做？
(ip.src_host eq 172.20.58.135) or (tcp.srcport eq 22)

如果是 “非” 的关系。怎么做？
not ((ip.src_host eq 172.20.58.135) and (tcp.srcport eq 22))

端口和IP地址可以是等于、不等于之外。还有
gt  大于
ge  大于等于
lt  小于
le  小于等于

参考文档：Wireshark 用户手册的第六章第四节