BlackSheep er et Firefox-tilføjelsesprogram, der advarer brugere, hvis nogen bruger Firesheep på deres netværk.Det angiver også IP-adressen på den maskine, der spionerer på dig.For at forstå, hvordan BlackSheep fungerer, skal vi først forstå detaljerne i FireSheep.FireSheep lytter til HTTP-trafikken i port 80. Når den identificerer en transaktion til et kendt sted (Facebook, Google, Yahoo !, osv.), Ser det efter specifikke cookieværdier, som derefter bruges til at identificere en bestemt bruger.Denne fase af angrebet kan ikke opdages, da den udføres passivt.Når FireSheep identificerer en brugersession, fremsætter den derefter en anmodning til det samme sted ved hjælp af brugerens cookieværdier for at hente brugeroplysninger såsom deres navn, billede osv. Denne aktive netværksaktivitet er dog synlig for andre på det lokale netværk.BlackSheep registrerer den aktive forbindelse, der er oprettet af Firesheep.Det gør dette ved at fremsende HTTP-anmodninger til tilfældige websteder, der håndteres af FireSheep hvert 5. minut (konfigurerbart) med falske værdier.BlackSheep lytter derefter til alle HTTP-anmodninger på netværket for at registrere, om en anden bruger de samme falske værdier.