Есть пример pcap
файл открыт в wireshark
Второй столбец - время. Можно ли увидеть здесь абсолютные отметки времени вместо относительных?
(из комментария)
Файл pcap (из tcpdump или wirehark или AFAIK что-нибудь еще, использующее libpcap) уже имеет абсолютное время; это только Дисплей Wireshark нужно отрегулировать.
в View
щелкните меню Time Display Format
и выберите один из Time of Day
параметры.
tcpdump имеет собственные параметры отметки времени для.
-t
Don't print a timestamp on each dump line.
-tt
Print the timestamp, as seconds since January 1, 1970, 00:00:00, UTC, and fractions of a second since that time, on each dump line.
-ttt
Print a delta (micro-second resolution) between current and previous line on each dump line.
-tttt
Print a timestamp, as hours, minutes, seconds, and fractions of a second since midnight, preceded by the date, on each dump line.
-ttttt
Print a delta (micro-second resolution) between current and first line on each dump line.
Более подробную информацию вы можете найти на tcpdump справочная страница.