Всем привет! Написал драйвер на WFP, перехватываю траффик на Stream Layer. Необходимо определить САБЖ. Сейчас определяю по первым пяти байтам записи:

typedef struct _SSL_RECORD_PROTOCOL
{
    UCHAR ContentType;
    UCHAR VersionMajor;
    UCHAR VersionMinor;
    UCHAR HightLength;
    UCHAR LowLength;
} SSL_RECORD_PROTOCOL, *PSSL_RECORD_PROTOCOL;

Но, как понимаю, для SSL версии ниже 3 такое не пройдет. В связи с этим два вопроса:
1. Как определить SSL-пакеты ниже 3 версии.
2. Всегда ли в поле Length содержится полная длина SSL-данных (для >= 3 версии)?

Спасибо