http://d.hatena.ne.jp/ozuma/20140915/1410774381

結論から先に言うと、CentOS 7/ RHEL 7のssコマンドには「UDPの開放ポートがTCPと報告される」というひどいバグがあり、使うべきではありません。
また、ssコマンドの-aオプションの挙動がCentOS 6の時から大きく変わっており、この点も注意が必要です。一言でいうと、「ssコマンド、かなり雑」です。

iproute: Fix Netid value for multi-families output
http://git.kernel.org/cgit/linux/kernel/git/shemminger/iproute2.git/commit/?id=77a8ca81189197e8d5e75fe19951efd0aea337d5

このコミットは2014/02/10で、iprouteのバージョンで言うとv3.14.0から修正されています。CentOS 7のiprouteはv3.10.0なのでバグ付きです。
ややこしいことに、このバグは古いiproute(ver.2系)には無く、CentOS 6.5のssコマンドは正常に動作します。CentOS 6.5では、以下の通りきちんとUDPとTCPは分けて表示されました。

iproute2: ss - change default filter to include all socket types
http://git.kernel.org/cgit/linux/kernel/git/shemminger/iproute2.git/commit/?id=7de7e5915a5492db964bc8ac48f17b1485e705d5

ssコマンドでは、以下の2012年12月のコミットがされるまで、「-a/--all」オプションが指定された場合は「TCPソケットのみ表示」をしていました。
このため、CentOS 6ではss -aとするとUDPは無視され、TCPソケットしか表示されません。

いろいろとまだまだなのね。
Debian/Ubuntuはどうなんだろう。