Giriş: TikTok Veri Kazımanın Zorlukları
TikTok, dünya genelinde milyarlarca kullanıcıya sahip bir platform ve bu büyüklük, veri odaklı projeler için muazzam fırsatlar sunuyor. İster influencer analitiği araçları geliştirin, ister trend takip sistemleri kurun — TikTok'tan herkese açık verileri çekmek, pazar araştırması ve içerik stratejisi için kritik.
Ancak TikTok, veri kazıma girişimlerine karşı son derece agresif bir anti-bot altyapısı kullanıyor. Basit HTTP istekleri veya standart web scraping araçlarıyla veri çekmeye çalıştığınızda, muhtemelen şunlarla karşılaşıyorsunuz:
- 403 Forbidden hataları
- Sürekli CAPTCHA doğrulamaları
- Boş veya yanıltıcı yanıtlar
- IP bazlı engellemeler
Bu rehberde, TikTok'un koruma mekanizmalarını anlayarak, residential proxy'ler kullanarak herkese açık verilere nasıl erişebileceğinizi adım adım öğreneceksiniz.
Önemli Uyarı: Bu rehber yalnızca herkese açık verilere erişim için hazırlanmıştır. TikTok'un Hizmet Koşullarını, GDPR, KVKK ve ilgili diğer yasaları mutlaka göz önünde bulundurun. Resmi API'ler mevcut olduğunda, her zaman önce onları tercih edin.
TikTok'un Anti-Bot Ekosistemi
TikTok'un güvenlik altyapısı, birden fazla katmandan oluşuyor. Her katman, farklı bir tespit yöntemi kullanıyor. Bu mekanizmaları anlamadan, etkili bir kazıma stratejisi oluşturamazsınız.
Cihaz Doğrulama ve Parmak İzi (Device Fingerprinting)
TikTok, her ziyaretçi için benzersiz bir "parmak izi" oluşturuyor. Bu izleme, şu verileri içeriyor:
- Canvas fingerprint: Tarayıcının grafik render özellikleri
- WebGL: GPU bilgileri ve render pipeline davranışları
- AudioContext: Ses işlemci özellikleri
- Font enumeration: Yüklü font listesi
- Screen resolution ve color depth
- Timezone ve dil ayarları
Standart bir headless tarayıcı (örneğin Puppeteer veya Playwright varsayılan ayarları), bu kontrollerde "bot" olarak işaretleniyor. TikTok, tutarsız veya eksik parmak izi verilerini otomatik olarak şüpheli buluyor.
WAF (Web Application Firewall)
TikTok, Cloudflare benzeri bir WAF kullanıyor. Bu katman:
- HTTP istek başlıklarını analiz ediyor (User-Agent, Accept-Language, Referer tutarlılığı)
- İstek frekansını ve pattern'lerini izliyor
- TLS fingerprinting yapıyor (JA3 hash)
- JavaScript challenge'ları çalıştırıyor
Yüksek frekanslı istekler veya tutarsız başlık kombinasyonları, anında engellemeye yol açıyor.
ByteDance'in Proprietary Detection Stack'i
TikTok'un en güçlü koruma katmanı, ByteDance'e özel bir detection stack. Bu sistem, şu parametreleri kullanıyor:
_signature Parametresi: Her API isteğine eklenen, o anın koşullarına göre dinamik olarak üretilen bir imza. Bu imza, şu değişkenlere dayanıyor:
- URL path ve query parametreleri
- Zaman damgası
- Cihaz ve tarayıcı bilgileri
- Kullanıcı davranış verileri (mouse hareketleri, scroll pattern)
msToken: CSRF koruması için kullanılan, oturum bazlı bir token. Genellikle çerezlerde saklanıyor ve her istekte yenilenmesi gerekiyor.
Bu parametreleri doğru üretmeden, API istekleri reddediliyor.
Herkese Açık Veri Kategorileri
TikTok'ta giriş yapmadan erişebileceğiniz veri türleri şunlardır:
| Veri Türü | URL Pattern | Erişim Zorluğu | Veri İçeriği |
|---|---|---|---|
| Creator Profilleri | @username |
Orta | Takipçi sayısı, toplam beğeni, bio, profil resmi |
| Video Sayfaları | /@username/video/ID |
Orta-Yüksek | Beğeni, yorum, paylaşım, görüntülenme sayıları |
| Hashtag Sayfaları | /tag/hashtag |
Yüksek | Hashtag altındaki videolar, toplam görüntülenme |
| Trend Sayfaları | /trending |
Çok Yüksek | Trend olan videolar, sesler, etkileşim verileri |
| Arama Sonuçları | /search |
Çok Yüksek | Anahtar kelime bazlı video ve kullanıcı listesi |
Trend ve arama sayfaları, en yüksek koruma seviyesine sahip. Bu sayfalara erişmek için, mobil-first yaklaşım ve güçlü residential proxy altyapısı şart.
Neden Residential Proxy'ler ve Mobil IP'ler?
TikTok, mobil-first bir platform. Kullanıcılarının %80'den fazlası mobil cihazlardan erişiyor. Bu durum, anti-bot sisteminin mobil trafiğe daha fazla güvendiği anlamına geliyor.
Datacenter vs Residential vs Mobile Proxy Karşılaştırması
| Proxy Türü | Tespit Riski | Başarı Oranı | Maliyet | Kullanım Senaryosu |
|---|---|---|---|---|
| Datacenter | Çok Yüksek | %10-20 | Düşük | Önerilmiyor |
| Residential | Orta | %60-75 | Orta | Genel scraping |
| Mobile (4G/5G) | Düşük | %85-95 | Yüksek | Yüksek korumalı sayfalar |
Mobile IP'ler, gerçek mobil cihazlardan gelen trafiği temsil ettiği için, TikTok'un güven mekanizması tarafından neredeyse "organik" trafik olarak kabul ediliyor.
ProxyHat ile Residential Proxy Yapılandırması
ProxyHat, residential ve mobile proxy hizmetleri sunuyor. TikTok scraping için önerilen yapılandırma:
# HTTP Proxy (varsayılan)
http://user-country-US:PASSWORD@gate.proxyhat.com:8080
# SOCKS5 Proxy
socks5://user-country-US:PASSWORD@gate.proxyhat.com:1080
# Ülke bazlı hedefleme (ABD)
http://user-country-US:PASSWORD@gate.proxyhat.com:8080
# Şehir bazlı hedefleme (Berlin, Almanya)
http://user-country-DE-city-berlin:PASSWORD@gate.proxyhat.com:8080
# Sticky session (30 dakika aynı IP)
http://user-session-abc123-country-US:PASSWORD@gate.proxyhat.com:8080TikTok trend'leri ülke bazlı farklılık gösterdiği için, doğru coğrafi konum seçimi önemli. Örneğin, ABD trend'lerini takip etmek için country-US parametresini kullanın.
Python + Playwright ile Stealth Kazıma
Playwright, Puppeteer'a alternatif modern bir tarayıcı otomasyon aracı. Stealth eklentisi ile birlikte kullanıldığında, bot tespitini önemli ölçüde azaltıyor.
Kurulum
# Gerekli paketler
pip install playwright playwright-stealth asyncio
# Tarayıcı kurulumu
playwright install chromiumTemel TikTok Scraper Sınıfı
import asyncio
from playwright.async_api import async_playwright
from playwright_stealth import stealth_async
import json
from urllib.parse import urlencode
class TikTokScraper:
def __init__(self, proxy_config=None):
self.proxy_config = proxy_config
self.base_url = "https://www.tiktok.com"
async def create_browser_context(self, playwright):
"""Stealth tarayıcı bağlamı oluştur"""
browser_args = {
"headless": True,
"args": [
"--disable-blink-features=AutomationControlled",
"--disable-dev-shm-usage",
"--no-sandbox",
]
}
# Proxy yapılandırması
if self.proxy_config:
browser_args["proxy"] = {
"server": f"http://{self.proxy_config['host']}:{self.proxy_config['port']}",
"username": self.proxy_config['username'],
"password": self.proxy_config['password']
}
browser = await playwright.chromium.launch(**browser_args)
# Mobil cihaz emülasyonu (iPhone 14 Pro)
context = await browser.new_context(
viewport={"width": 393, "height": 852},
user_agent="Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1",
device_scale_factor=3,
is_mobile=True,
has_touch=True,
locale="en-US",
timezone_id="America/New_York"
)
return browser, context
async def get_creator_profile(self, username: str) -> dict:
"""Creator profil verilerini çek"""
async with async_playwright() as p:
browser, context = await self.create_browser_context(p)
page = await context.new_page()
# Stealth modunu uygula
await stealth_async(page)
try:
url = f"{self.base_url}/@{username}"
await page.goto(url, wait_until="networkidle", timeout=30000)
# Sayfanın yüklenmesini bekle
await page.wait_for_selector('[data-e2e="creator-profile"]', timeout=15000)
# Veri çekme
profile_data = await page.evaluate("""() => {
const data = {
username: document.querySelector('[data-e2e="creator-profile-username"]')?.textContent?.trim(),
nickname: document.querySelector('[data-e2e="creator-profile-nickname"]')?.textContent?.trim(),
bio: document.querySelector('[data-e2e="creator-bio"]')?.textContent?.trim(),
following: document.querySelector('[data-e2e="following-count"]')?.textContent?.trim(),
followers: document.querySelector('[data-e2e="followers-count"]')?.textContent?.trim(),
likes: document.querySelector('[data-e2e="likes-count"]')?.textContent?.trim(),
avatar: document.querySelector('[data-e2e="creator-avatar"] img')?.src
};
return data;
}""")
return {
"success": True,
"data": profile_data,
"url": url
}
except Exception as e:
return {
"success": False,
"error": str(e)
}
finally:
await browser.close()
# Kullanım örneği
async def main():
proxy_config = {
"host": "gate.proxyhat.com",
"port": 8080,
"username": "user-country-US",
"password": "YOUR_PASSWORD"
}
scraper = TikTokScraper(proxy_config)
result = await scraper.get_creator_profile("tiktok")
print(json.dumps(result, indent=2, ensure_ascii=False))
if __name__ == "__main__":
asyncio.run(main())Hashtag Sayfası Kazıma
async def get_hashtag_videos(self, hashtag: str, limit: int = 30) -> dict:
"""Hashtag altındaki videoları çek"""
async with async_playwright() as p:
browser, context = await self.create_browser_context(p)
page = await context.new_page()
await stealth_async(page)
videos = []
try:
url = f"{self.base_url}/tag/{hashtag}"
await page.goto(url, wait_until="networkidle", timeout=30000)
await page.wait_for_selector('[data-e2e="search-video"]', timeout=15000)
# Scroll ile daha fazla video yükle
for _ in range(3):
await page.evaluate("window.scrollBy(0, 1000)")
await asyncio.sleep(2)
# Video kartlarını çek
video_elements = await page.query_selector_all('[data-e2e="search-video"]')
for i, elem in enumerate(video_elements[:limit]):
try:
video_data = await elem.evaluate("""node => {
const link = node.querySelector('a');
const views = node.querySelector('[data-e2e="video-views"]');
return {
video_url: link?.href,
views: views?.textContent?.trim()
};
}""")
videos.append(video_data)
except:
continue
return {
"success": True,
"hashtag": hashtag,
"video_count": len(videos),
"videos": videos
}
except Exception as e:
return {
"success": False,
"error": str(e)
}
finally:
await browser.close()_signature Parametresini İşlemek
TikTok'un API isteklerindeki _signature parametresi, en büyük teknik zorluklardan biri. Bu parametre, isteklerin güvenilir olduğunu doğruluyor.
İmza Nasıl Üretiliyor?
TikTok'un imza algoritması şu adımları içeriyor:
- URL path ve query parametrelerinin belirlenmesi
- Zaman damgasının eklenmesi
- Cihaz bilgilerinin hash'lenmesi
- ByteDance'e özel bir algoritma ile şifrelenmesi
Bu algoritma tamamen client-side JavaScript içinde çalışıyor ve obfuscate edilmiş durumda.
Yaklaşım 1: Playwright ile JS Çalıştırma
En güvenilir yöntem, gerçek bir tarayıcı ortamında TikTok'un JavaScript'ini çalıştırmak. Bu sayede, imza otomatik olarak üretiliyor.
async def intercept_api_requests(page):
"""TikTok API isteklerini yakala ve imzaları kullan"""
api_requests = []
async def handle_request(request):
if "api." in request.url and "tiktok" in request.url:
headers = request.headers
url = request.url
# _signature parametresini yakala
if "_signature" in url or "X-Bogus" in headers:
api_requests.append({
"url": url,
"headers": dict(headers),
"method": request.method
})
page.on("request", handle_request)
return api_requestsYaklaşım 2: Üçüncü Parti İmza Servisleri
Bazı servisler, TikTok imzalarını API üzerinden sunuyor. Bu servisler genellikle:
- Aylık abonelik modeli ile çalışıyor
- İstek başına ücret alıyor
- Imza üretimi için reverse engineer edilmiş algoritma kullanıyor
Dikkat: Üçüncü parti servisler, güvenlik ve gizlilik riskleri taşıyabilir. Kendi altyapınızı kurmak, uzun vadede daha güvenli.
Yaklaşım 3: Reverse Engineering (Gelişmiş)
TikTok'un Webpack bundle'larını analiz ederek imza algoritmasını çıkarmak mümkün. Bu yaklaşım:
- Yüksek teknik uzmanlık gerektiriyor
- Her TikTok güncellemesinde bakım gerektiriyor
- En esnek ve ölçeklenebilir çözüm
Reverse engineering için araçlar:
- JS Beautifier: Obfuscate edilmiş kodu okunabilir hale getirme
- Chrome DevTools: Network isteklerini analiz etme
- Frida: Runtime JavaScript hook'ları
Node.js ile Alternatif Uygulama
JavaScript ekosisteminde çalışan ekipler için Node.js + Playwright kombinasyonu da kullanılabilir:
const { chromium } = require('playwright');
const { stealth } = require('playwright-stealth');
async function scrapeTikTokCreator(username) {
const proxyConfig = {
server: 'http://gate.proxyhat.com:8080',
username: 'user-country-US',
password: 'YOUR_PASSWORD'
};
const browser = await chromium.launch({
headless: true,
proxy: proxyConfig,
args: [
'--disable-blink-features=AutomationControlled',
'--no-sandbox'
]
});
const context = await browser.newContext({
viewport: { width: 393, height: 852 },
userAgent: 'Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1',
isMobile: true,
hasTouch: true,
locale: 'en-US'
});
const page = await context.newPage();
await stealth(page);
try {
await page.goto(`https://www.tiktok.com/@${username}`, {
waitUntil: 'networkidle',
timeout: 30000
});
await page.waitForSelector('[data-e2e="creator-profile"]', {
timeout: 15000
});
const profileData = await page.evaluate(() => {
return {
username: document.querySelector('[data-e2e="creator-profile-username"]')?.textContent?.trim(),
followers: document.querySelector('[data-e2e="followers-count"]')?.textContent?.trim(),
likes: document.querySelector('[data-e2e="likes-count"]')?.textContent?.trim()
};
});
console.log(JSON.stringify(profileData, null, 2));
return profileData;
} catch (error) {
console.error('Scraping hatası:', error.message);
return null;
} finally {
await browser.close();
}
}
// Kullanım
scrapeTikTokCreator('tiktok');Ölçeklenebilir Mimari ve Pattern'ler
Tek bir hesap takibinden, binlerce creator'ı izleyen bir sisteme geçiş, doğru mimari tasarım gerektiriyor.
Creator Tracking Sistemi
Influencer analitiği araçları için, creator profillerini düzenli olarak güncelleyen bir sistem:
import asyncio
from datetime import datetime, timedelta
import json
class CreatorTrackingPipeline:
def __init__(self, proxy_pool, db_connection):
self.proxy_pool = proxy_pool
self.db = db_connection
self.rate_limiter = RateLimiter(requests_per_minute=30)
async def track_creators(self, usernames: list):
"""Birden fazla creator'ı paralel takip et"""
tasks = []
for username in usernames:
# Her istek için farklı proxy kullan
proxy = self.proxy_pool.get_next()
# Rate limiting bekle
await self.rate_limiter.acquire()
task = self._scrape_single_creator(username, proxy)
tasks.append(task)
results = await asyncio.gather(*tasks, return_exceptions=True)
return self._process_results(results)
async def _scrape_single_creator(self, username: str, proxy: dict):
"""Tek bir creator'ı scrape et"""
scraper = TikTokScraper(proxy)
result = await scraper.get_creator_profile(username)
if result["success"]:
await self._save_to_db(username, result["data"])
return result
async def _save_to_db(self, username: str, data: dict):
"""Veriyi veritabanına kaydet"""
record = {
"username": username,
"followers": self._parse_number(data.get("followers", "0")),
"likes": self._parse_number(data.get("likes", "0")),
"scraped_at": datetime.utcnow(),
"raw_data": json.dumps(data)
}
# Upsert işlemi
await self.db.creator_stats.update_one(
{"username": username},
{"$set": record},
upsert=True
)
def _parse_number(self, num_str: str) -> int:
"""'1.2M', '500K' formatlarını parse et"""
num_str = num_str.strip().upper()
multipliers = {"K": 1000, "M": 1000000, "B": 1000000000}
for suffix, mult in multipliers.items():
if num_str.endswith(suffix):
return int(float(num_str[:-1]) * mult)
return int(num_str.replace(",", "")) if num_str.isdigit() else 0Trend Detection ve Hashtag Monitoring
Trend'leri takip eden bir sistem için farklı bir yaklaşım gerekiyor:
class TrendMonitor:
def __init__(self, proxy_pool):
self.proxy_pool = proxy_pool
self.baseline_data = {}
async def detect_emerging_hashtags(self, region: str = "US"):
"""Yükselen hashtag'leri tespit et"""
proxy = self.proxy_pool.get_geo_proxy(region)
scraper = TikTokScraper(proxy)
# Trend sayfasından hashtag'leri çek
trending = await scraper.get_trending_hashtags()
# Önceki ölçüm ile karşılaştır
emerging = []
for tag in trending:
if tag["name"] in self.baseline_data:
growth_rate = (tag["views"] - self.baseline_data[tag["name"]]) / self.baseline_data[tag["name"]]
if growth_rate > 0.5: # %50'den fazla büyüme
emerging.append({
"hashtag": tag["name"],
"growth_rate": growth_rate,
"current_views": tag["views"]
})
self.baseline_data[tag["name"]] = tag["views"]
return sorted(emerging, key=lambda x: x["growth_rate"], reverse=True)Rate Limiting ve Hata Yönetimi
TikTok, agresif scraping girişimlerini tespit ettiğinde IP bazlı engelleme uyguluyor. Bu yüzden:
- İstek aralığı: Her istek arasında minimum 2-3 saniye bekleme
- Dönen proxy havuzu: Her istekte farklı IP kullanımı
- Exponential backoff: Hata durumunda bekleme süresini artırma
- Circuit breaker: Ardışık hatalarda işlemi durdurma
class RateLimiter:
def __init__(self, requests_per_minute=30):
self.rate = requests_per_minute
self.interval = 60.0 / self.rate
self.last_request = 0
self.lock = asyncio.Lock()
async def acquire(self):
async with self.lock:
now = asyncio.get_event_loop().time()
wait_time = max(0, self.interval - (now - self.last_request))
if wait_time > 0:
await asyncio.sleep(wait_time)
self.last_request = asyncio.get_event_loop().time()
class CircuitBreaker:
def __init__(self, max_failures=5, reset_timeout=300):
self.failures = 0
self.max_failures = max_failures
self.reset_timeout = reset_timeout
self.last_failure = None
self.state = "closed" # closed, open, half-open
def record_failure(self):
self.failures += 1
self.last_failure = datetime.utcnow()
if self.failures >= self.max_failures:
self.state = "open"
def record_success(self):
self.failures = 0
self.state = "closed"
def can_execute(self):
if self.state == "closed":
return True
if self.state == "open":
if (datetime.utcnow() - self.last_failure).seconds > self.reset_timeout:
self.state = "half-open"
return True
return False
return True # half-openEtik Kazıma ve Resmi API Terciiti
TikTok verilerine erişimin her zaman scraping yoluyla olması gerekmiyor. Bazı durumlarda, resmi API'ler veya alternatif yöntemler daha uygun.
Ne Zaman Resmi API Kullanılmalı?
- Ticari uygulamalar: Ticari amaçlı projelerde resmi API kullanımı, hukuki güvenlik sağlar
- Gerçek zamanlı veri: Resmi API'ler, gerçek zamanlı ve doğrulanmış veri sunuyor
- Hata toleransı: API değişikliklerinde resmi API'ler, backward compatibility sağlıyor
- Rate limit garantisi: Resmi API'ler, belirli bir kullanım kotası ile geliyor
Etik Scraping İlkeleri
- robots.txt kontrolü: Site sahibinin isteklerini respect edin
- Rate limiting: Sunucuyu aşırı yüklemeyin
- Kişisel veri: KVKK/GDPR kapsamındaki kişisel verileri dikkatli işleyin
- Kullanım amacı: Veriyi sadece belirlenen amaç için kullanın
- Veri saklama: Gereksiz veri saklamayın, retention policy uygulayın
Kvkk ve GDPR Uyarısı: Avrupa Birliği'nde GDPR, Türkiye'de KVKK kapsamında, kişisel verilerin işlenmesi için belirli şartlar gerekiyor. Herkese açık profil verileri bile, kişisel veri kategorisine giriyor. Veri işlemeden önce hukuki danışman alın.
Key Takeaways
- TikTok'un anti-bot sistemi çok katmanlı: Cihaz parmak izi, WAF, _signature parametresi ve msToken kombinasyonu, basit scraping girişimlerini engelliyor.
- Mobile-first yaklaşım şart: TikTok, mobil cihazlardan gelen trafiğe daha fazla güveniyor. Residential ve mobile proxy'ler, datacenter proxy'lere göre çok daha yüksek başarı oranı sağlıyor.
- Playwright + Stealth kombinasyonu etkili: Headless tarayıcı tespitini azaltan stealth eklentileri, parmak izi tutarlılığı sağlıyor.
- _signature işleme: En güvenilir yöntem, tarayıcı içinde JavaScript çalıştırmak. Reverse engineering, uzun vadeli projeler için daha sürdürülebilir.
- Rate limiting kritik: Agresif istekler, IP engellemesine yol açıyor. Dönen proxy havuzu ve akıllı bekleme süreleri, uzun vadeli başarı için gerekli.
- Etik ve yasal çerçeve: Herkese açık veriler bile kişisel veri kapsamında. KVKK, GDPR ve TikTok Hizmet Koşulları mutlaka göz önünde bulundurulmalı.
