BlackSheep est un module complémentaire de Firefox qui avertit les utilisateurs si quelqu'un utilise Firesheep sur leur réseau.Il indique également l'adresse IP de la machine qui vous espionne.Pour comprendre le fonctionnement de BlackSheep, nous devons d'abord comprendre les détails de FireSheep.FireSheep écoute le trafic HTTP sur le port 80. Lorsqu'il identifie une transaction sur un site connu (Facebook, Google, Yahoo !, etc.), il recherche des valeurs de cookie spécifiques qui sont ensuite utilisées pour identifier un utilisateur spécifique.Cette phase de l'attaque ne peut pas être détectée car elle se fait passivement.Lorsque FireSheep identifie une session utilisateur, il fait alors une demande au même site en utilisant les valeurs des cookies de l'utilisateur afin de récupérer des informations utilisateur telles que leur nom, leur image, etc. Cette activité réseau active est cependant visible pour les autres sur le réseau local.BlackSheep détecte la connexion active établie par Firesheep.Il le fait en effectuant des requêtes HTTP vers des sites aléatoires gérés par FireSheep toutes les 5 minutes (configurables) avec de fausses valeurs.BlackSheep écoute ensuite toutes les requêtes HTTP sur le réseau pour détecter si quelqu'un d'autre utilise les mêmes fausses valeurs.