Почему существует большая разница во времени, прошедшем между SYN и SYN-ACK, а затем гораздо меньшая разница между временем, прошедшим от SYN-ACK и последнего ACK во время трехстороннего установления связи TCP?
Это потому, что вы захватываете со стороны инициатора. Устройство, которое выдает первый и третий пакеты. Из-за этого разница во времени между 2-м и 3-м пакетами должна составлять менее миллисекунды. Время между 1-м и 2-м пакетами будет определяться задержкой в сети.
Лучше всего сравнить дельты времени 1/2 и 3/4. Они будут измерять то же самое.
Это может быть по многим причинам. Насколько велика разница? Куда и от каких устройств вы измеряете? Одна из причин может заключаться в том, что первые пакеты запускают создание туннелей VPN в сети. Другая причина может заключаться в том, что принимающему приложению требуется больше времени для обработки начального SYN, чем для последующих пакетов.
И хотя вышеупомянутые причины могут иметь место, на основе ответа в вашем комментарии, ответ @ sysadmin1138 в этом случае правильный: вы захватываете инициатор, который наклоняет измерение в этом направлении. Если бы вы выполняли захват на приемнике, вы бы увидели разные результаты: в основном, время между SYN-ACK и ACK было бы большим.