O UDP é usado para uma variedade de serviços. Se você tiver apenas SMTP e POP3 abertos, não deverá ter tráfego UDP. Eu suponho que você também tenha DNS aberto no TCP e no UDP. Quantidades massivas de tráfego são uma medida bastante imprecisa. É 1% do seu tráfego ou largura de banda, ou 90%.
Se você permitir e-mails recebidos, presumo que você também esteja executando algum tipo de software de verificação de e-mail. Isso deve gerar um bom número de pesquisas de DNS. Por esse motivo, é recomendável que você execute um servidor DNS de cache no host. O UDP também é usado por alguns outros recursos usados para identificar spam.
O comando sudo netstat -anp | grep udp | grep less listará as conexões usando o UDP e o programa associado. Isso pode ajudar a identificar a origem do tráfego. Repetir o comando como sudo netstat -anp | grep udp | grep EST | less algumas vezes pode dar uma ideia se esta é uma conexão contínua.
Você pode usar tcpdump para examinar o tráfego e determinar que tipo de dados está sendo passado. Isso lhe dará uma ideia se o tráfego é legítimo.
Outra ferramenta que você pode usar é ntop , que resumirá o tráfego por protocolo e host. Pode dar a você e a ideia de que tráfego está passando.
Você pode inserir uma regra de bloqueio no iptables . Isso pode bloquear o tráfego por endereço IP, protocolo ou protocolo e porta. Esteja preparado para remover a regra rapidamente, caso o tráfego seja legítimo.