Suas suposições sobre tcpdump estão corretas. Uma captura tcpdump pega os pacotes brutos.
Os valores de registro de data e hora aos quais você terá acesso ao processar o dump são, portanto, os valores de registro de data e hora nos pacotes (que são inseridos pelo sistema envio ).
Se você estiver registrando os pacotes no receptor, seus registros podem incluir os timestamps (o registro de data e hora do remetente do pacote e o timestamp do receptor do relógio local). Eles falaram sobre isso em um pequeno detalhe em 1981, na RFC 781 .
Em relação à sincronização de horário, a resposta é sempre NTP .
VMs podem sincronizar o relógio de hardware virtual com a idéia do host de que horas são, mas o sistema operacional pode não estar verificando obsessivamente o relógio do hardware. Sistemas operacionais modernos (pelo menos unix / linux) mantêm um tempo de SO que é semi-independente do clock do hardware e ocasionalmente é gravado nele.
O NTP disciplina a idéia do sistema de "que horas são" e é responsável pelo desvio natural no subsistema de relógio / temporização do hardware. Sincronizar os relógios da VM com o NTP é a melhor maneira de garantir que eles concordem com o tempo na medida em que são práticos no mundo real.
As VMs não devem ser usadas para qualquer coisa com tempo crítico * - As máquinas virtuais são realmente péssimas de tempo. Até mesmo os melhores hipervisores comerciais podem ganhar ou perder tempo, dependendo da carga de trabalho do sistema e de outros fatores. O VirtualBox é virtualização de classe de estação de trabalho e é ainda mais suscetível a esses problemas. Eu vi VMs do VirtualBox sem NTP ou outros helpers de cronometragem perder até um minuto por hora na minha estação de trabalho. Isso definitivamente está além dos meus limites de precisão aceitável.