Finalmente, não vimos nenhum problema nesse comportamento e procuramos uma captura completa do caso de uso, e isso só apareceu no final do teste, não durante o mesmo. Então eu acho que é apenas estranho, mas não é um problema real.
O que finalmente fizemos foi exportar a captura Wireshart para um arquivo PDML, e analisamos isso com um programa que construímos para analisar e correlacionar informações usando o TCP Streams. Com isso, pudemos saber quanto tempo um servidor demorou para responder a uma solicitação de HTTP, e isso ajudou muito a entender o problema da raiz.