تعد BlackSheep إحدى وظائف Firefox الإضافية التي تحذر المستخدمين إذا كان شخص ما يستخدم Firesheep على شبكته.كما يشير إلى عنوان IP الخاص بالجهاز الذي يتجسس عليك.لفهم كيفية عمل BlackSheep ، نحتاج أولاً إلى فهم تفاصيل FireSheep.يستمع FireSheep إلى حركة مرور HTTP على المنفذ 80. عندما يحدد المعاملات إلى موقع معروف (Facebook و Google و Yahoo !، إلخ) ، فإنه يبحث عن قيم ملفات تعريف ارتباط محددة يتم استخدامها بعد ذلك لتحديد هوية مستخدم معين.لا يمكن اكتشاف هذه المرحلة من الهجوم لأنها تتم بشكل سلبي.عندما يحدد FireSheep جلسة مستخدم ، فإنه يقوم بعد ذلك بتقديم طلب إلى الموقع نفسه باستخدام قيم ملفات تعريف الارتباط الخاصة بالمستخدم من أجل استرداد معلومات المستخدم مثل اسمه أو صورته ، إلخ. لكن نشاط الشبكة النشط هذا مرئي للآخرين على الشبكة المحلية.يكتشف BlackSheep الاتصال النشط بواسطة Firesheep.يقوم بذلك عن طريق جعل طلبات HTTP إلى مواقع عشوائية يتم التعامل معها بواسطة FireSheep كل 5 دقائق (قابلة للتكوين) بقيم مزيفة.يستمع BlackSheep بعد ذلك إلى جميع طلبات HTTP على الشبكة لاكتشاف ما إذا كان شخص آخر يستخدم نفس القيم المزيفة.