スイッチドネットワークでは、ネットワークスイッチはMACアドレス宛てのパケットのみをスイッチのポートに転送するため、混合モードでは追加のトラフィックは表示されません。 MITMの場合、ARPスプーフィングまたはその他のMITMテクニックを使用して、クライアントを介して接続させ、トラフィックを確認できます。
ご指摘のとおり、MITMはアクティブな攻撃(改ざん/変更/ドロップトラフィック)を実行して、その目的をさらに高めることもできます。
MITMの方が優れているケースはたくさんあります。たとえば、Diffie-Hellman鍵交換が関係している場合でも、暗号化されたトラフィックにはMITMを介してアクセスできますが、スニッフィングはできません。