BlackSheepはFirefoxアドオンで、誰かがネットワークでFiresheepを使用している場合にユーザーに警告します。また、あなたをスパイしているマシンのIPアドレスも示します。BlackSheepの仕組みを理解するには、まずFireSheepの詳細を理解する必要があります。FireSheepはポート80でHTTPトラフィックをリッスンします。既知のサイト（Facebook、Google、Yahoo！など）へのトランザクションを識別すると、特定のユーザーを識別するために使用される特定のCookie値を探します。攻撃のこの段階は受動的に行われるため、検出できません。FireSheepがユーザーセッションを識別すると、名前、写真などのユーザー情報を取得するために、ユーザーのCookie値を使用して同じサイトにリクエストを送信します。ただし、このアクティブなネットワークアクティビティはローカルネットワーク上の他のユーザーに表示されます。BlackSheepは、Firesheepによって確立されたアクティブな接続を検出します。これは、FireSheepが処理するランダムサイトへのHTTPリクエストを、偽の値で5分ごと（構成可能）に行うことで行われます。BlackSheepは、ネットワーク上のすべてのHTTP要求をリッスンして、他の誰かが同じ偽の値を使用しているかどうかを検出します。