La respuesta a su pregunta parece estar en el enlace al que hace referencia.
Los programas de computadora siguen instrucciones específicas y, en este caso, el filtro ettercap está configurado para:
replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
La cadena de caracteres "IMG SRC=" no es lo mismo que "IMG src=" o "img title = '123' src=". Si el desarrollador del sitio web ha utilizado un conjunto de caracteres diferente a su filtro de alguna manera, entonces el filtro no funcionará.
Tenga en cuenta que este filtro no parece activarse para todas las imágenes, es un poco impredecible
Esto puede deberse a la diferencia lógica explicada anteriormente o como parte de un mecanismo de liberación de carga / congreso de paquetes que elimina algunos de estos paquetes sin filtrado.
¿Pueden los sitios mitigar ARP?
No. Estos sitios han adoptado una guía de estilo diferente para las etiquetas img o tal vez simplemente no tienen una. Como dice irongeek, la mitigación de ARP es más efectiva a través del caché estático, IDPS o Arpwatch en la red local.
Sugeriría leer una descripción más detallada de los protocolos ARP, IP y de entrega de tramas para comprender mejor la explotación y mitigación de este vector de ataque.