Um motivo seria o comportamento de um firewall em example.com. Caso o firewall simplesmente diminua o tráfego, você verá a primeira resposta. Por outro lado, se o firewall rejeitar o tráfego, você receberá o segundo.
Para entender melhor, pegue um filtro de pacotes como tcpdump ou wireshark e cheirar o tráfego como você executa os testes.
O primeiro caso será parecido com Syn, Syn, Syn ...
O segundo caso será parecido com Syn, Rst, juntamente com um possível porta ICMP inacessível.
Uma conexão bem-sucedida se parecerá com o Syn, Syn-Ack, Ack que esperamos no tcp handshake de três vias .