Um pacote UDP é encapsulado dentro de um pacote IP. No cabeçalho IP, há um campo de comprimento, informando o comprimento da carga útil do pacote IP. Na carga útil, fica o pacote UDP, com seu próprio cabeçalho, e também inclui um campo indicando seu comprimento.
Assim, você esperaria que, como o pacote udp fica dentro do pacote IP, o campo length nos cabeçalhos IP deve corresponder ao campo length nos cabeçalhos UDP (excluindo os próprios cabeçalhos).
Se não, então deve ser malformado, caso contrário, o que ocuparia o espaço extra no pacote IP, se não o payload UDP.
A menos que haja uma falha de driver ou hardware, isso nunca deve acontecer e, portanto, é indicativo de um ataque de negação de serviço, em que pode não haver muito cuidado para garantir que os pacotes sejam formados corretamente.