Как наказать заказчика Ддос атаки?

В соответствии с тегом "Юриспруденция" - обратится в правоохранительные органы, предоставив им всю необходимую информацию.
Был бы тег "братва на зоне" или "западлостроение" - могли бы быть иные предложения.

Если Вы - это, например, фирма ООО "Рога и копыта" в городе Задрюпинск, то скорей всего, всем будет плевать что у вас там "ддос". Но если фирма более-менее крупная и известная... Хотя о чем это я, если бы было второе, то у Вас бы был отдел безопасности, который вряд ли бы задал такой вопрос на тостере ;)

Вы можете попробовать обратиться в органы, если есть доказательства. Не "Васька мне грозил задудосить своим вирусом FastF5, это он виноват", а вполне реальное подтверждение - переведенная сумма денег, запись встречи заказчика и исполнителя и тд. Т.е. реально шансов ноль.

Мстить? Ну отомстите одному, потом второму, а там уже сотня ваших клиентов недовольных. Проблема этой атаки - она дешевая, и тем дешевле, чем слабей защита врага. Поэтому выход один - строить правильную инфраструктуру, способную выдерживать мелкие атаки. От крупных никто не застрахован,

можно ли как-то наказать этого человека?

Можно.
Право наказывать других людей есть только у государства.
Поэтому обращаетесь в государственные структуры, сообщаете о проблеме, и ждете когда разберутся и накажут.

"Тварь я дрожащая или право имею"(с) анон

Если есть документальное подтверждение знания автора атаки и всей цепочки, то можно решить юридически
То что у тебя есть возможность создать ответную атаку - нужно держать при себе
Все что сказано - будет использовано против тебя