Por que há uma grande diferença no tempo decorrido entre o SYN e o SYN-ACK e, em seguida, uma diferença muito menor entre o tempo decorrido do SYN-ACK e o último ACK durante o handshake TCP de 3 vias?
Isso porque você está capturando por parte do iniciador. O dispositivo que emite o primeiro e terceiro pacotes. Por causa disso, o delta de tempo entre o segundo e terceiro pacotes deve ser sub-milissegundo. O tempo entre o primeiro e o segundo pacote será determinado pela latência da rede.
Uma coisa melhor para comparar seria o deltas de tempo de 1/2 e 3/4. Eles estariam medindo a mesma coisa.
Existem muitas razões para isso ser o caso. Quão grande diferença você está medindo? Para quais dispositivos você está medindo? Uma razão pode ser que os primeiros pacotes estão acionando o estabelecimento de túneis VPN na rede. Outro motivo pode ser que o aplicativo de recebimento demore mais tempo para processar o SYN inicial do que os pacotes subsequentes.
E enquanto as razões acima são as que podem ser o caso, com base na resposta do seu comentário, a resposta do @ sysadmin1138 está correta neste caso: você está capturando no iniciador, que está inclinando a medição naquela direção. Se você fosse capturar no receptor, veria resultados diferentes: principalmente o tempo entre o SYN-ACK e o ACK seria longo.