разность - то, что я использовал бы, я думаю, что Вы на правильном пути.
Главным образом нет никакой "причины" для лавинных рассылок, и исходный IP-адрес, вероятно, будет фальсифицироваться. Удостоверьтесь, что Ваша система не является источником для пакетов UDP к этим адресам назначения, все остальное не Ваш бизнес.
Нет, отправка электронной почты использует tcp и не может быть причиной для лавинной рассылки UDP.
Используйте сниффера как Wireshark или просто tcpdump, чтобы видеть, отправляется ли трафик UDP действительно. Если так, Вы были, вероятно, взломаны и должны переустановить систему.
В противном случае кто-то может подделывать исходный адрес, или нападение может быть неактивным в данный момент. В любом случае проверьте свой сервер на знаки заражения (странные процессы, и т.д....)