پروکسی برای اسکرپینگ Instagram و TikTok: چه چیزی در ۲۰۲۶ جواب میدهد

Instagram و TikTok دو تا از سختترین اهداف اصلی در دنیای اسکرپینگ هستند — سختتر از Google، سختتر از Amazon. هر دو امتیازدهی تهاجمی روی IP اجرا میکنند، هر دو کلاینت شما را در چند لایه فینگرپرینت میکنند، و هر دو به خاطر بلاک نرم (soft block) معروفاند: به جای یک 403 تمیز، با دیوار لاگین، JSON خالی، «challenge_required» یا نتایج بیسروصدا ناقصشده روبهرو میشوید. اسکرپر شما ظاهراً «کار میکند» ولی دادهاش آشغال است.

این راهنما توضیح میدهد که هر پلتفرم در سال 2026 دقیقاً چطور شما را بلاک میکند، چه پیکربندی پروکسیای دوام میآورد، و چه الگوهای درخواستی اکانتها و سشنها را زنده نگه میدارد. (برای مدیریت چنداکانتی به جای اسکرپینگ، راهنماهای AdsPower/Multilogin و GoLogin/Dolphin Anty را ببینید.)

Instagram چطور شما را بلاک میکند

• اول از همه، اعتبار IP. ASNهای دیتاسنتر تقریباً بلافاصله در نسخه وب به دیوار لاگین میخورند و API خصوصی هم challenge_required برمیگرداند. تحمل Instagram نسبت به IPهای مسکونی مشترک/سوءاستفادهشده هم پایین است — اینجا کیفیت استخر IP تقریباً بیش از هر جای دیگری اهمیت دارد.
• سقف درخواست به ازای هر IP. درخواستهای وب ناشناس حدوداً ۱۰۰ تا ۲۰۰ بارگذاری صفحه به ازای هر IP در ساعت میگیرند تا به دیوار لاگین برسند؛ اندپوینتهای GraphQL سختگیرترند. این سقف هم به ازای IP و هم به ازای کوکی سشن، جداگانه ردیابی میشود.
• اسکرپینگ لاگینشده ریسک را به اکانت گره میزند. اکانتی که در یک ساعت از ۵ تا IP دیده شود چکپوینت میخورد، نه IPها. اگر لاگینشده اسکرپ میکنید، یک اکانت = یک IP استیکی، بدون استثنا.
• فینگرپرینت دستگاه/TLS. مسیر mobile-API (که خودش را به جای اپ جا میزند) فینگرپرینت TLS را با استکهای شناختهشده اپ مقایسه میکند — httpx خام اینجا میمیرد؛ به impersonation با curl_cffi نگاه کنید.

TikTok چطور شما را بلاک میکند

• درخواستهای امضاشده. API وب TikTok به پارامترهای X-Bogus/امضا نیاز دارد که توسط جاوااسکریپت مبهمسازیشده تولید میشوند. اسکرپینگ صرفاً HTTP یعنی مهندسی معکوس امضاهایی که هر چند هفته یکبار میچرخند — اکثر تیمها به جایش یک مرورگر واقعی (Playwright) اجرا میکنند و پاسخهای JSON را شنود میکنند.
• محتوای پارتیشنبندیشده بر اساس جغرافیا. محتوا، ترندها و حتی در دسترس بودن TikTok بر اساس کشور IP خروجی فرق میکند. اسکرپ «TikTok آمریکا» از IPهای اروپایی دادهٔ متفاوت به شما میدهد، نه دادهٔ بلاکشده — یک باگ صحت بیسروصدا. کشور پروکسی را با بازار هدف منطبق کنید.
• IP دیتاسنتر = کپچای فوری. کپچای اسلایدر/چرخشی در همان بار اول از ASNهای ابری ظاهر میشود. خروجیهای مسکونی عمدتاً از آن رد میشوند.
• امتیازدهی رفتاری در وباپ. آهنگ اسکرول و سیگنالهای زمان تماشا به مدلهای ریسک خوراک میدهند؛ مرورگری که یک پروفایل را با سرعت ماشینی صفحهبندی میکند سشنش مسموم میشود (پاسخهای itemList خالی که شبیه «دیگر محتوایی نیست» به نظر میرسند).

راهکاری که جواب میدهد

۱. مسکونی، منطبق با جغرافیا، استیکی به ازای هر هویت

# یک هویت = یک سشن استیکی، پینشده به کشور
socks5h://USERNAME:[email protected]:913

چرخش به ازای هر درخواست برای صفحات عمومی ناشناس با حجم پایین اشکالی ندارد. لحظهای که پای کوکی سشن یا لاگین در میان است، به استیکی سوییچ کنید — کوکی و IP باید به عنوان یک هویت واحد حرکت کنند (چرا).

۲. Instagram عمومی از طریق GraphQL، از داخل پروکسی

from curl_cffi import requests

PROXY = {"https": "socks5h://USERNAME:[email protected]:913"}

# JSON پروفایل عمومی (بدون لاگین) - تقلید از فینگرپرینت TLS کروم
r = requests.get(
    "https://www.instagram.com/api/v1/users/web_profile_info/?username=nasa",
    impersonate="chrome",
    headers={"X-IG-App-ID": "936619743392459"},
    proxies=PROXY,
)
data = r.json()["data"]["user"]
print(data["edge_followed_by"]["count"])

به پاسخ نگاه کنید، نه به کد وضعیت: یک 200 با {"data": null} یا ریدایرکت به /accounts/login/ یعنی سقف این IP تمام شده — هویت را بچرخانید، عقبنشینی کنید و از سر بگیرید.

۳. TikTok از طریق Playwright + شنود پاسخ

from playwright.sync_api import sync_playwright

with sync_playwright() as p:
    browser = p.chromium.launch(proxy={
        "server": "us.jibaoproxy.com:913",
        "username": "USERNAME", "password": "PASSWORD",
    })
    page = browser.new_page()
    items = []
    # بگذار جاوااسکریپت خود TikTok درخواستها را امضا کند؛ ما فقط پاسخها را میخوانیم
    page.on("response", lambda res:
        items.extend(res.json().get("itemList", []))
        if "/api/post/item_list" in res.url else None)
    page.goto("https://www.tiktok.com/@nasa")
    for _ in range(5):
        page.mouse.wheel(0, 2500)
        page.wait_for_timeout(1800)   # آهنگ اسکرول شبیه انسان
    print(len(items), "videos captured")

این کار کاملاً مهندسی معکوس امضا را دور میزند: خود صفحه X-Bogus معتبر تولید میکند و شما JSON را برداشت میکنید. پروکسی باید هنگام راهاندازی مرورگر تنظیم شود — نکات احراز هویت در احراز هویت پروکسی در Playwright پوشش داده شده است.

۴. مثل انسان سرعت بگیرید، مراقب بلاکهای نرم باشید

• برای هر هویت Instagram حدود ۱ درخواست در هر ۲ تا ۴ ثانیه بودجه بگذارید؛ jitter اضافه کنید. آهنگ اسکرول TikTok ۱.۵ تا ۳ ثانیه.
• روی سیگنالهای محتوا هشدار بدهید، نه کدهای HTTP: ریدایرکت دیوار لاگین، challenge_required، itemList خالی با hasMore: true.
• یک هویت را بعد از حدود ۱۵۰ درخواست (IG) / حدود ۳۰ صفحه پروفایل (TikTok) بازنشسته کنید؛ ۲۴ ساعت استراحت بدهید.
• هر بچ یک پروب کنترلی اجرا کنید (یک پروفایل شناختهشده) — اگر کنترل اشتباه برگشت، کل بچ مشکوک است.

مرجع سریع

	Instagram	TikTok
بهترین مسیر دسترسی	اندپوینتهای وب GraphQL/API، curl_cffi	Playwright + شنود پاسخ
نوع پروکسی	مسکونی استیکی به ازای هر هویت	مسکونی، منطبق با جغرافیای بازار
IPهای دیتاسنتر	دیوار لاگین / چالش	کپچای فوری
سیگنال بلاک نرم	ریدایرکت لاگین، challenge_required، دادهٔ null	itemList خالی، صفحه کپچا
حساسیت جغرافیایی	متوسط	بالا — محتوا بر اساس کشور فرق میکند

جمعبندی

• هر دو پلتفرم بلاک نرم میکنند: محتوای پاسخ را اعتبارسنجی کنید، هیچوقت به 200 OK اعتماد نکنید.
• مسکونی اجباری است؛ هر جا کوکی یا لاگین وجود دارد سشن استیکی؛ TikTok را با بازاری که اندازه میگیرید منطبق کنید.
• Instagram: API وب + impersonation با curl_cffi، حدود ۱۵۰ درخواست به ازای هر هویت، سپس بچرخانید.
• TikTok: بگذارید یک مرورگر واقعی درخواستها را امضا کند، JSON را شنود کنید، با آهنگ انسانی اسکرول کنید.
• اسکرپینگ لاگینشده ریسک را به اکانت میبندد — یک اکانت، یک IP، بدون استثنا.