BlackSheep to dodatek do Firefoksa, który ostrzega użytkowników, jeśli ktoś używa Firesheep w swojej sieci.Wskazuje także adres IP urządzenia, które cię szpieguje.Aby zrozumieć, jak działa BlackSheep, najpierw musimy zrozumieć szczegóły FireSheep.FireSheep nasłuchuje ruchu HTTP na porcie 80. Kiedy identyfikuje transakcję na znanej stronie (Facebook, Google, Yahoo! Itd.), Szuka określonych wartości plików cookie, które są następnie używane do identyfikacji konkretnego użytkownika.Ta faza ataku nie może zostać wykryta, ponieważ odbywa się pasywnie.Gdy FireSheep identyfikuje sesję użytkownika, następnie wysyła żądanie do tej samej witryny przy użyciu wartości plików cookie użytkownika w celu pobrania informacji o użytkowniku, takich jak nazwa, zdjęcie itp. Aktywna aktywność sieci jest jednak widoczna dla innych w sieci lokalnej.BlackSheep wykrywa aktywne połączenie utworzone przez Firesheep.Robi to, wysyłając żądania HTTP do losowych witryn obsługiwanych przez FireSheep co 5 minut (konfigurowalne) z fałszywymi wartościami.BlackSheep następnie nasłuchuje wszystkich żądań HTTP w sieci, aby wykryć, czy ktoś używa tych samych fałszywych wartości.